აგენტ ტესლას მავნე პროგრამა გავრცელდა Microsoft word დოკუმენტები გასულ წელს, ახლა კი ის კვლავ მოგვევლინა. ჯაშუშური პროგრამის უახლესი ვარიანტი მსხვერპლებს სთხოვს, ორმაგად დააჭიროთ ლურჯ ხატულას, რათა Word დოკუმენტში უფრო მკაფიო ხედი გაეცნოთ.
თუ მომხმარებელი საკმარისად უყურადღებოდ დააწკაპუნებს მას, ეს გამოიწვევს .exe ფაილის ამოღებას ჩანერგილი ობიექტიდან სისტემის დროებითი საქაღალდე და შემდეგ გაუშვით. ეს მხოლოდ იმის მაგალითია, თუ როგორ მუშაობს ეს მავნე პროგრამა.
მავნე პროგრამა წერია MS Visual Basic- ში
მავნე პროგრამა დაწერილია MS Visual Basic ენაზე და იგი გააანალიზა Xiaopeng Zhang- მა, რომელმაც დეტალური ანალიზი განათავსო თავის ბლოგზე 5 აპრილს.
მის მიერ ნაპოვნი შემსრულებელ ფაილს POM.exe ერქვა და ეს ერთგვარი ინსტალატორის პროგრამაა. როდესაც ეს გაუშვა, მან ჩამოაგდო ორი ფაილი სახელად filename.exe და filename.vbs% temp% ქვე საქაღალდეში. იმისათვის, რომ ის ავტომატურად იმუშაოს დაწყებისთანავე, ფაილი თავსდება სისტემის რეესტრში, როგორც საწყისი პროგრამა, და ის მუშაობს% temp% filename.exe.
მავნე პროგრამა ქმნის შეჩერებულ ბავშვის პროცესს
როდესაც filename.exe იწყება, ეს გამოიწვევს შეჩერებული ბავშვის პროცესის შექმნას იგივეთი, რაც თავის დაცვას მოითხოვს.
ამის შემდეგ, იგი საკუთარი რესურსიდან ამოიღებს ახალ PE ფაილს ბავშვის პროცესის მეხსიერების გადასაწერად. შემდეგ, მოდის ბავშვის პროცესის შესრულების განახლება.
- დაკავშირებული: Windows 10 – ის ანტიმავერული პროგრამის 7 საუკეთესო საშუალება 2018 წელს საფრთხეების დასაბლოკად
მავნე პროგრამა ჩამოაგდებს daemon პროგრამას
მავნე პროგრამას ასევე ჩამოაქვს Daemon პროგრამა .Net პროგრამის რესურსიდან, სახელწოდებით Player,% temp% საქაღალდეში და აწარმოებს მას Filename.exe- ს დასაცავად. Daemon- ის პროგრამის სახელი შედგება სამი შემთხვევითი ასოსგან და მისი მიზანი ნათელია და მარტივი.
პირველადი ფუნქცია იღებს ბრძანების არგუმენტს და იგი ინახავს მას სიმების ცვლადში, რომელსაც ეწოდება filePath. ამის შემდეგ, ის შექმნის ძაფის ფუნქციას, რომლის მეშვეობითაც ამოწმებს, მუშაობს თუ არა filename.exe ყოველ 900 მილიწამში. თუ filename.exe მოკლულია, ის კვლავ გაუშვებს.
ჟანგმა თქვა, რომ FortiGuard AntiVirus– მა დააფიქსირა მავნე პროგრამა და აღმოფხვრა იგი. ჩვენ გირჩევთ გაიაროთ ჟანგის დეტალური შენიშვნები მეტი ინფორმაციის მისაღებად spyware და როგორ მუშაობს.
დაკავშირებული ისტორიები, რომ შეამოწმოთ:
- რა არის ‘Windows– მა დააფიქსირა ჯაშუშური ინფექცია!’ და როგორ ამოიღოთ იგი?
- არ შეგიძლიათ განაახლოთ spyware protection თქვენს კომპიუტერში?
- გახსენით WMV ფაილები Windows 10 – ში ამ 5 პროგრამული უზრუნველყოფის გამოყენებით
![5 საუკეთესო ღია წყარო ანტივირუსული პროგრამა [Windows 10 & Mac]](/f/e52f612b9fe5bd7a1af340123704b5ad.jpg?width=300&height=460)