აგენტი Tesla spyware ვრცელდება Microsoft Word დოკუმენტების საშუალებით

აგენტი Tesla spyware Microsoft Word word

აგენტ ტესლას მავნე პროგრამა გავრცელდა Microsoft word დოკუმენტები გასულ წელს, ახლა კი ის კვლავ მოგვევლინა. ჯაშუშური პროგრამის უახლესი ვარიანტი მსხვერპლებს სთხოვს, ორმაგად დააჭიროთ ლურჯ ხატულას, რათა Word დოკუმენტში უფრო მკაფიო ხედი გაეცნოთ.

თუ მომხმარებელი საკმარისად უყურადღებოდ დააწკაპუნებს მას, ეს გამოიწვევს .exe ფაილის ამოღებას ჩანერგილი ობიექტიდან სისტემის დროებითი საქაღალდე და შემდეგ გაუშვით. ეს მხოლოდ იმის მაგალითია, თუ როგორ მუშაობს ეს მავნე პროგრამა.

მავნე პროგრამა წერია MS Visual Basic- ში

მავნე პროგრამა დაწერილია MS Visual Basic ენაზე და იგი გააანალიზა Xiaopeng Zhang- მა, რომელმაც დეტალური ანალიზი განათავსო თავის ბლოგზე 5 აპრილს.

მის მიერ ნაპოვნი შემსრულებელ ფაილს POM.exe ერქვა და ეს ერთგვარი ინსტალატორის პროგრამაა. როდესაც ეს გაუშვა, მან ჩამოაგდო ორი ფაილი სახელად filename.exe და filename.vbs% temp% ქვე საქაღალდეში. იმისათვის, რომ ის ავტომატურად იმუშაოს დაწყებისთანავე, ფაილი თავსდება სისტემის რეესტრში, როგორც საწყისი პროგრამა, და ის მუშაობს% temp% filename.exe.

მავნე პროგრამა ქმნის შეჩერებულ ბავშვის პროცესს

როდესაც filename.exe იწყება, ეს გამოიწვევს შეჩერებული ბავშვის პროცესის შექმნას იგივეთი, რაც თავის დაცვას მოითხოვს.

ამის შემდეგ, იგი საკუთარი რესურსიდან ამოიღებს ახალ PE ფაილს ბავშვის პროცესის მეხსიერების გადასაწერად. შემდეგ, მოდის ბავშვის პროცესის შესრულების განახლება.

  • დაკავშირებული: Windows 10 – ის ანტიმავერული პროგრამის 7 საუკეთესო საშუალება 2018 წელს საფრთხეების დასაბლოკად

მავნე პროგრამა ჩამოაგდებს daemon პროგრამას

მავნე პროგრამას ასევე ჩამოაქვს Daemon პროგრამა .Net პროგრამის რესურსიდან, სახელწოდებით Player,% temp% საქაღალდეში და აწარმოებს მას Filename.exe- ს დასაცავად. Daemon- ის პროგრამის სახელი შედგება სამი შემთხვევითი ასოსგან და მისი მიზანი ნათელია და მარტივი.

პირველადი ფუნქცია იღებს ბრძანების არგუმენტს და იგი ინახავს მას სიმების ცვლადში, რომელსაც ეწოდება filePath. ამის შემდეგ, ის შექმნის ძაფის ფუნქციას, რომლის მეშვეობითაც ამოწმებს, მუშაობს თუ არა filename.exe ყოველ 900 მილიწამში. თუ filename.exe მოკლულია, ის კვლავ გაუშვებს.

ჟანგმა თქვა, რომ FortiGuard AntiVirus– მა დააფიქსირა მავნე პროგრამა და აღმოფხვრა იგი. ჩვენ გირჩევთ გაიაროთ ჟანგის დეტალური შენიშვნები მეტი ინფორმაციის მისაღებად spyware და როგორ მუშაობს.

დაკავშირებული ისტორიები, რომ შეამოწმოთ:

  • რა არის ‘Windows– მა დააფიქსირა ჯაშუშური ინფექცია!’ და როგორ ამოიღოთ იგი?
  • არ შეგიძლიათ განაახლოთ spyware protection თქვენს კომპიუტერში?
  • გახსენით WMV ფაილები Windows 10 – ში ამ 5 პროგრამული უზრუნველყოფის გამოყენებით
დააინსტალირეთ უახლესი უსაფრთხოების უსაფრთხოების ხარვეზი ამ განახლებების ინსტალაციით

დააინსტალირეთ უახლესი უსაფრთხოების უსაფრთხოების ხარვეზი ამ განახლებების ინსტალაციითᲙიბერ დაცვა

გასულ კვირას, Intel– მა გამოაცხადა, რომ ზოგიერთ ჩიპში უსაფრთხოების მკაცრი ხარვეზი ათასობით მოწყობილობას ტოვებს ჰაკერებისათვის დაუცველი.უსაფრთხოების მკვლევარებმა გამოავლინეს, რომ პრობლემა უფრო უარეს...

Წაიკითხე მეტი
ეს 8 უსაფრთხო ონლაინ საყიდლების რჩევა იმდენად მარტივია, რომ თქვენს შვილებს შეუძლიათ ამის გაკეთება

ეს 8 უსაფრთხო ონლაინ საყიდლების რჩევა იმდენად მარტივია, რომ თქვენს შვილებს შეუძლიათ ამის გაკეთებაშოპინგიᲙიბერ დაცვა

PC– ს სხვადასხვა პრობლემების მოსაგვარებლად გირჩევთ DriverFix– ს:ეს პროგრამა თქვენს დრაივერებს განაგრძობს მუშაობას და ამით გიცავთ კომპიუტერის ჩვეულებრივი შეცდომებისგან და აპარატურის უკმარისობისგან. ...

Წაიკითხე მეტი
Windows 10 Meltdown Patch- ს უსაფრთხოების კრიტიკული პრობლემები აქვს

Windows 10 Meltdown Patch- ს უსაფრთხოების კრიტიკული პრობლემები აქვსვინდოუსი 10Კიბერ დაცვა

Microsoft- მა რამდენიმე შემოიტანა Meltdown– ის მოწყვლადობის პატჩები მაგრამ, როგორც ჩანს, მათ საბედისწერო ნაკლი ჰქონდათ. ამის შესახებ ალექს იონესკუმ, Crowdstrike კიბერ-უსაფრთხოების უსაფრთხოების მკვლ...

Წაიკითხე მეტი