აგენტი Tesla spyware ვრცელდება Microsoft Word დოკუმენტების საშუალებით

აგენტი Tesla spyware Microsoft Word word

აგენტ ტესლას მავნე პროგრამა გავრცელდა Microsoft word დოკუმენტები გასულ წელს, ახლა კი ის კვლავ მოგვევლინა. ჯაშუშური პროგრამის უახლესი ვარიანტი მსხვერპლებს სთხოვს, ორმაგად დააჭიროთ ლურჯ ხატულას, რათა Word დოკუმენტში უფრო მკაფიო ხედი გაეცნოთ.

თუ მომხმარებელი საკმარისად უყურადღებოდ დააწკაპუნებს მას, ეს გამოიწვევს .exe ფაილის ამოღებას ჩანერგილი ობიექტიდან სისტემის დროებითი საქაღალდე და შემდეგ გაუშვით. ეს მხოლოდ იმის მაგალითია, თუ როგორ მუშაობს ეს მავნე პროგრამა.

მავნე პროგრამა წერია MS Visual Basic- ში

მავნე პროგრამა დაწერილია MS Visual Basic ენაზე და იგი გააანალიზა Xiaopeng Zhang- მა, რომელმაც დეტალური ანალიზი განათავსო თავის ბლოგზე 5 აპრილს.

მის მიერ ნაპოვნი შემსრულებელ ფაილს POM.exe ერქვა და ეს ერთგვარი ინსტალატორის პროგრამაა. როდესაც ეს გაუშვა, მან ჩამოაგდო ორი ფაილი სახელად filename.exe და filename.vbs% temp% ქვე საქაღალდეში. იმისათვის, რომ ის ავტომატურად იმუშაოს დაწყებისთანავე, ფაილი თავსდება სისტემის რეესტრში, როგორც საწყისი პროგრამა, და ის მუშაობს% temp% filename.exe.

მავნე პროგრამა ქმნის შეჩერებულ ბავშვის პროცესს

როდესაც filename.exe იწყება, ეს გამოიწვევს შეჩერებული ბავშვის პროცესის შექმნას იგივეთი, რაც თავის დაცვას მოითხოვს.

ამის შემდეგ, იგი საკუთარი რესურსიდან ამოიღებს ახალ PE ფაილს ბავშვის პროცესის მეხსიერების გადასაწერად. შემდეგ, მოდის ბავშვის პროცესის შესრულების განახლება.

  • დაკავშირებული: Windows 10 – ის ანტიმავერული პროგრამის 7 საუკეთესო საშუალება 2018 წელს საფრთხეების დასაბლოკად

მავნე პროგრამა ჩამოაგდებს daemon პროგრამას

მავნე პროგრამას ასევე ჩამოაქვს Daemon პროგრამა .Net პროგრამის რესურსიდან, სახელწოდებით Player,% temp% საქაღალდეში და აწარმოებს მას Filename.exe- ს დასაცავად. Daemon- ის პროგრამის სახელი შედგება სამი შემთხვევითი ასოსგან და მისი მიზანი ნათელია და მარტივი.

პირველადი ფუნქცია იღებს ბრძანების არგუმენტს და იგი ინახავს მას სიმების ცვლადში, რომელსაც ეწოდება filePath. ამის შემდეგ, ის შექმნის ძაფის ფუნქციას, რომლის მეშვეობითაც ამოწმებს, მუშაობს თუ არა filename.exe ყოველ 900 მილიწამში. თუ filename.exe მოკლულია, ის კვლავ გაუშვებს.

ჟანგმა თქვა, რომ FortiGuard AntiVirus– მა დააფიქსირა მავნე პროგრამა და აღმოფხვრა იგი. ჩვენ გირჩევთ გაიაროთ ჟანგის დეტალური შენიშვნები მეტი ინფორმაციის მისაღებად spyware და როგორ მუშაობს.

დაკავშირებული ისტორიები, რომ შეამოწმოთ:

  • რა არის ‘Windows– მა დააფიქსირა ჯაშუშური ინფექცია!’ და როგორ ამოიღოთ იგი?
  • არ შეგიძლიათ განაახლოთ spyware protection თქვენს კომპიუტერში?
  • გახსენით WMV ფაილები Windows 10 – ში ამ 5 პროგრამული უზრუნველყოფის გამოყენებით
Windows Security ბლოკავს მავნე პროგრამებსა და მომხმარებლებს უსაფრთხოების განახლებების წაშლაში

Windows Security ბლოკავს მავნე პროგრამებსა და მომხმარებლებს უსაფრთხოების განახლებების წაშლაშიMicrosoft Windows დამცველიWindows 10 სიახლეებიᲙიბერ დაცვა

Windows 10-ის მომხმარებლებს ახლა შეუძლიათ გამოიყენონ Windows Security აპი ახალი ფუნქციის ჩასართავად დამცველი დაცვა. უსაფრთხოების ახალი ვარიანტის წყალობით, მავნე პროგრამები ან სხვა მომხმარებლები ვეღ...

Წაიკითხე მეტი
Windows 10 მაისის განახლება ნულოვანი დღის მნიშვნელოვან დაუცველობას განიცდის

Windows 10 მაისის განახლება ნულოვანი დღის მნიშვნელოვან დაუცველობას განიცდისვინდოუსი 10Კიბერ დაცვა

Microsoft- მა ახლახანს შემოიტანა ა ახალი Windows 10 ფუნქციის განახლება. როგორც ჩანს, კომპანიამ უგულებელყო უსაფრთხოების ძირითადი ხარვეზი, რომელიც Windows 10-ში არსებობდა.ნაკლი დაფიქსირდა მოწინავეში ...

Წაიკითხე მეტი
მოძველებული Windows და IE ვერსიები კვლავ მრავალი კომპანიის მიერ გამოიყენება, რის გამოც გარდაიქმნება მავნე პროგრამების შეტევები

მოძველებული Windows და IE ვერსიები კვლავ მრავალი კომპანიის მიერ გამოიყენება, რის გამოც გარდაიქმნება მავნე პროგრამების შეტევებიინტერნეტ – მკვლევარის საკითხებივინდოუსი 10Კიბერ დაცვა

ბოლოდროინდელ სტატიაში ჩვენ შეგატყობინეთ ამის შესახებ Windows XP დინოზავრი ცოცხალია და წიხლებს, მართავს მსოფლიოს კომპიუტერების თითქმის 11%. იგივე ეხება მის ძმას, Internet Explorer- ს. უფრო უარესიც კ...

Წაიკითხე მეტი