აგენტი Tesla spyware ვრცელდება Microsoft Word დოკუმენტების საშუალებით

აგენტი Tesla spyware Microsoft Word word

აგენტ ტესლას მავნე პროგრამა გავრცელდა Microsoft word დოკუმენტები გასულ წელს, ახლა კი ის კვლავ მოგვევლინა. ჯაშუშური პროგრამის უახლესი ვარიანტი მსხვერპლებს სთხოვს, ორმაგად დააჭიროთ ლურჯ ხატულას, რათა Word დოკუმენტში უფრო მკაფიო ხედი გაეცნოთ.

თუ მომხმარებელი საკმარისად უყურადღებოდ დააწკაპუნებს მას, ეს გამოიწვევს .exe ფაილის ამოღებას ჩანერგილი ობიექტიდან სისტემის დროებითი საქაღალდე და შემდეგ გაუშვით. ეს მხოლოდ იმის მაგალითია, თუ როგორ მუშაობს ეს მავნე პროგრამა.

მავნე პროგრამა წერია MS Visual Basic- ში

მავნე პროგრამა დაწერილია MS Visual Basic ენაზე და იგი გააანალიზა Xiaopeng Zhang- მა, რომელმაც დეტალური ანალიზი განათავსო თავის ბლოგზე 5 აპრილს.

მის მიერ ნაპოვნი შემსრულებელ ფაილს POM.exe ერქვა და ეს ერთგვარი ინსტალატორის პროგრამაა. როდესაც ეს გაუშვა, მან ჩამოაგდო ორი ფაილი სახელად filename.exe და filename.vbs% temp% ქვე საქაღალდეში. იმისათვის, რომ ის ავტომატურად იმუშაოს დაწყებისთანავე, ფაილი თავსდება სისტემის რეესტრში, როგორც საწყისი პროგრამა, და ის მუშაობს% temp% filename.exe.

მავნე პროგრამა ქმნის შეჩერებულ ბავშვის პროცესს

როდესაც filename.exe იწყება, ეს გამოიწვევს შეჩერებული ბავშვის პროცესის შექმნას იგივეთი, რაც თავის დაცვას მოითხოვს.

ამის შემდეგ, იგი საკუთარი რესურსიდან ამოიღებს ახალ PE ფაილს ბავშვის პროცესის მეხსიერების გადასაწერად. შემდეგ, მოდის ბავშვის პროცესის შესრულების განახლება.

  • დაკავშირებული: Windows 10 – ის ანტიმავერული პროგრამის 7 საუკეთესო საშუალება 2018 წელს საფრთხეების დასაბლოკად

მავნე პროგრამა ჩამოაგდებს daemon პროგრამას

მავნე პროგრამას ასევე ჩამოაქვს Daemon პროგრამა .Net პროგრამის რესურსიდან, სახელწოდებით Player,% temp% საქაღალდეში და აწარმოებს მას Filename.exe- ს დასაცავად. Daemon- ის პროგრამის სახელი შედგება სამი შემთხვევითი ასოსგან და მისი მიზანი ნათელია და მარტივი.

პირველადი ფუნქცია იღებს ბრძანების არგუმენტს და იგი ინახავს მას სიმების ცვლადში, რომელსაც ეწოდება filePath. ამის შემდეგ, ის შექმნის ძაფის ფუნქციას, რომლის მეშვეობითაც ამოწმებს, მუშაობს თუ არა filename.exe ყოველ 900 მილიწამში. თუ filename.exe მოკლულია, ის კვლავ გაუშვებს.

ჟანგმა თქვა, რომ FortiGuard AntiVirus– მა დააფიქსირა მავნე პროგრამა და აღმოფხვრა იგი. ჩვენ გირჩევთ გაიაროთ ჟანგის დეტალური შენიშვნები მეტი ინფორმაციის მისაღებად spyware და როგორ მუშაობს.

დაკავშირებული ისტორიები, რომ შეამოწმოთ:

  • რა არის ‘Windows– მა დააფიქსირა ჯაშუშური ინფექცია!’ და როგორ ამოიღოთ იგი?
  • არ შეგიძლიათ განაახლოთ spyware protection თქვენს კომპიუტერში?
  • გახსენით WMV ფაილები Windows 10 – ში ამ 5 პროგრამული უზრუნველყოფის გამოყენებით
Microsoft Edge უკეთესია ფიშინგის შეტევების დაბლოკვაში, ვიდრე Chrome

Microsoft Edge უკეთესია ფიშინგის შეტევების დაბლოკვაში, ვიდრე ChromeᲙიბერ დაცვაᲒუგლ ქრომი

ებრძვის თქვენს ამჟამინდელ ბრაუზერს? გადახვიდეთ უკეთესზე: ოპერათქვენ იმსახურებთ უკეთეს ბრაუზერს! 350 მილიონი ადამიანი იყენებს ოპერას ყოველდღიურად, ნავიგაციის სრულფასოვან გამოცდილებას, რომელსაც გააჩნ...

Წაიკითხე მეტი
VPN აპებს შეუძლიათ გატეხონ? როგორ ავირჩიოთ უსაფრთხო VPN პროვაიდერი?

VPN აპებს შეუძლიათ გატეხონ? როგორ ავირჩიოთ უსაფრთხო VPN პროვაიდერი?VpnᲙიბერ დაცვა

VPN აპლიკაციის ინსტალაციისას ყველაზე მწვავე საკითხია ის, რომ 100% -ით ენდობით პროვაიდერს თქვენი პირადი მონაცემებისა და პირადი ინტერნეტ ტრაფიკის დაცვაში.VPN პროვაიდერების უმრავლესობამ შეიძლება შეძლო...

Წაიკითხე მეტი
გაუმჯობესებული ღრუბლის უსაფრთხოება, 5G და უფრო ჭკვიანი Cortana შემოდის Windows 10-ზე

გაუმჯობესებული ღრუბლის უსაფრთხოება, 5G და უფრო ჭკვიანი Cortana შემოდის Windows 10-ზეMicrosoft 365Microsoft AzureᲙიბერ დაცვა

Microsoft– მა გამოაცხადა მრავალწლიანი თანამშრომლობა AT&T– სთან ტექნიკური მომავლის უკეთ ჩამოყალიბებისთვის.იმედი მაქვს, რომ ამ ორ გიგანტს შორის დიდი პარტნიორობა დიდ გავლენას მოახდენს მომავალში Wi...

Წაიკითხე მეტი