აგენტი Tesla spyware ვრცელდება Microsoft Word დოკუმენტების საშუალებით

აგენტი Tesla spyware Microsoft Word word

აგენტ ტესლას მავნე პროგრამა გავრცელდა Microsoft word დოკუმენტები გასულ წელს, ახლა კი ის კვლავ მოგვევლინა. ჯაშუშური პროგრამის უახლესი ვარიანტი მსხვერპლებს სთხოვს, ორმაგად დააჭიროთ ლურჯ ხატულას, რათა Word დოკუმენტში უფრო მკაფიო ხედი გაეცნოთ.

თუ მომხმარებელი საკმარისად უყურადღებოდ დააწკაპუნებს მას, ეს გამოიწვევს .exe ფაილის ამოღებას ჩანერგილი ობიექტიდან სისტემის დროებითი საქაღალდე და შემდეგ გაუშვით. ეს მხოლოდ იმის მაგალითია, თუ როგორ მუშაობს ეს მავნე პროგრამა.

მავნე პროგრამა წერია MS Visual Basic- ში

მავნე პროგრამა დაწერილია MS Visual Basic ენაზე და იგი გააანალიზა Xiaopeng Zhang- მა, რომელმაც დეტალური ანალიზი განათავსო თავის ბლოგზე 5 აპრილს.

მის მიერ ნაპოვნი შემსრულებელ ფაილს POM.exe ერქვა და ეს ერთგვარი ინსტალატორის პროგრამაა. როდესაც ეს გაუშვა, მან ჩამოაგდო ორი ფაილი სახელად filename.exe და filename.vbs% temp% ქვე საქაღალდეში. იმისათვის, რომ ის ავტომატურად იმუშაოს დაწყებისთანავე, ფაილი თავსდება სისტემის რეესტრში, როგორც საწყისი პროგრამა, და ის მუშაობს% temp% filename.exe.

მავნე პროგრამა ქმნის შეჩერებულ ბავშვის პროცესს

instagram story viewer

როდესაც filename.exe იწყება, ეს გამოიწვევს შეჩერებული ბავშვის პროცესის შექმნას იგივეთი, რაც თავის დაცვას მოითხოვს.

ამის შემდეგ, იგი საკუთარი რესურსიდან ამოიღებს ახალ PE ფაილს ბავშვის პროცესის მეხსიერების გადასაწერად. შემდეგ, მოდის ბავშვის პროცესის შესრულების განახლება.

დაკავშირებული: Windows 10 – ის ანტიმავერული პროგრამის 7 საუკეთესო საშუალება 2018 წელს საფრთხეების დასაბლოკად

მავნე პროგრამა ჩამოაგდებს daemon პროგრამას

მავნე პროგრამას ასევე ჩამოაქვს Daemon პროგრამა .Net პროგრამის რესურსიდან, სახელწოდებით Player,% temp% საქაღალდეში და აწარმოებს მას Filename.exe- ს დასაცავად. Daemon- ის პროგრამის სახელი შედგება სამი შემთხვევითი ასოსგან და მისი მიზანი ნათელია და მარტივი.

პირველადი ფუნქცია იღებს ბრძანების არგუმენტს და იგი ინახავს მას სიმების ცვლადში, რომელსაც ეწოდება filePath. ამის შემდეგ, ის შექმნის ძაფის ფუნქციას, რომლის მეშვეობითაც ამოწმებს, მუშაობს თუ არა filename.exe ყოველ 900 მილიწამში. თუ filename.exe მოკლულია, ის კვლავ გაუშვებს.

ჟანგმა თქვა, რომ FortiGuard AntiVirus– მა დააფიქსირა მავნე პროგრამა და აღმოფხვრა იგი. ჩვენ გირჩევთ გაიაროთ ჟანგის დეტალური შენიშვნები მეტი ინფორმაციის მისაღებად spyware და როგორ მუშაობს.

დაკავშირებული ისტორიები, რომ შეამოწმოთ:

რა არის ‘Windows– მა დააფიქსირა ჯაშუშური ინფექცია!’ და როგორ ამოიღოთ იგი?
არ შეგიძლიათ განაახლოთ spyware protection თქვენს კომპიუტერში?
გახსენით WMV ფაილები Windows 10 – ში ამ 5 პროგრამული უზრუნველყოფის გამოყენებით

აგენტი Tesla spyware ვრცელდება Microsoft Word დოკუმენტების საშუალებით

მავნე პროგრამა წერია MS Visual Basic- ში

მავნე პროგრამა ქმნის შეჩერებულ ბავშვის პროცესს

მავნე პროგრამა ჩამოაგდებს daemon პროგრამას

Microsoft BitLocker დაშიფვრის გასაღები გატეხეს იაფი FGPA– ს საშუალებით ბიტლოკერი Კიბერ დაცვა

მავნე პროგრამები იყენებენ Facebook API- ს პირადი მონაცემების მოსაპარად კონფიდენციალურობა Კიბერ დაცვა ფეისბუქი

როგორ ასწორებს Microsoft Windows 10 მეხსიერების შეცდომებს უსაფრთხოება Კიბერ დაცვა

აგენტი Tesla spyware ვრცელდება Microsoft Word დოკუმენტების საშუალებით

მავნე პროგრამა წერია MS Visual Basic- ში

მავნე პროგრამა ქმნის შეჩერებულ ბავშვის პროცესს

მავნე პროგრამა ჩამოაგდებს daemon პროგრამას

Microsoft BitLocker დაშიფვრის გასაღები გატეხეს იაფი FGPA– ს საშუალებითბიტლოკერიᲙიბერ დაცვა

მავნე პროგრამები იყენებენ Facebook API- ს პირადი მონაცემების მოსაპარადკონფიდენციალურობაᲙიბერ დაცვაფეისბუქი

როგორ ასწორებს Microsoft Windows 10 მეხსიერების შეცდომებსუსაფრთხოებაᲙიბერ დაცვა

Microsoft BitLocker დაშიფვრის გასაღები გატეხეს იაფი FGPA– ს საშუალებით ბიტლოკერი Კიბერ დაცვა

მავნე პროგრამები იყენებენ Facebook API- ს პირადი მონაცემების მოსაპარად კონფიდენციალურობა Კიბერ დაცვა ფეისბუქი

როგორ ასწორებს Microsoft Windows 10 მეხსიერების შეცდომებს უსაფრთხოება Კიბერ დაცვა