エージェントテスラマルウェアは マイクロソフトワード 昨年の文書、そして今では私たちを悩ませるために戻ってきました。 スパイウェアの最新の亜種は、被害者に青いアイコンをダブルクリックして、Word文書をより鮮明に表示できるようにするように求めています。
ユーザーが不注意にクリックすると、埋め込みオブジェクトから.exeファイルが抽出されます。 システムの一時フォルダ そしてそれを実行します。 これは、このマルウェアがどのように機能するかの一例にすぎません。
マルウェアはMSVisualBasicで記述されています
ザ・ マルウェア はMSVisual Basic言語で記述されており、4月5日にブログに詳細な分析を投稿したXiaopengZhangによって分析されました。
彼が見つけた実行可能ファイルはPOM.exeと呼ばれ、一種のインストーラープログラムです。 これが実行されると、filename.exeとfilename.vbsという名前の2つのファイルが%temp%subfolderにドロップされました。 起動時に自動的に実行されるように、ファイルは起動プログラムとしてシステムレジストリに追加され、%temp%filename.exeが実行されます。
マルウェアは中断された子プロセスを作成します
filename.exeが起動すると、それ自体を保護するために、同じプロセスで中断された子プロセスが作成されます。
この後、子プロセスのメモリを上書きするために、独自のリソースから新しいPEファイルを抽出します。 次に、子プロセスの実行が再開されます。
- 関連: 2018年に脅威をブロックするためのWindows10用の7つの最高のウイルス対策ツール
マルウェアはデーモンプログラムをドロップします
このマルウェアはまた、Playerと呼ばれる.Netプログラムのリソースから%temp%フォルダーにデーモンプログラムをドロップし、filename.exeを保護するために実行します。 デーモンのプログラム名は3つのランダムな文字で構成されており、その目的は明確で単純です。
プライマリ関数はコマンドライン引数を受け取り、それをfilePathと呼ばれる文字列変数に保存します。 この後、filename.exeが900ミリ秒ごとに実行されているかどうかを確認するスレッド関数を作成します。 filename.exeが強制終了されると、再度実行されます。
Zhang氏は、FortiGuard AntiVirusがマルウェアを検出し、排除したと述べました。 通過することをお勧めします 張の詳細なメモ スパイウェアとその仕組みについて詳しく知るため。
チェックアウトする関連記事:
- 「Windowsがスパイウェアの感染を検出しました!」とは何ですか?また、それを削除する方法は?
- コンピューターのスパイウェア保護を更新できませんか?
- これらの5つのソフトウェアソリューションを使用して、Windows10でWMVファイルを開きます
