에이전트 Tesla 악성 코드는 마이크로 소프트 워드 문서는 작년에 우리를 괴롭히기 위해 돌아 왔습니다. 스파이웨어의 최신 변종은 피해자에게 파란색 아이콘을 두 번 클릭하여 Word 문서를보다 명확하게 볼 수 있도록 요청합니다.
사용자가 부주의하여 클릭하면 포함 된 개체에서 .exe 파일이 시스템의 임시 폴더 그런 다음 실행하십시오. 이것은이 멀웨어가 작동하는 방식의 예일뿐입니다.
악성 코드는 MS Visual Basic으로 작성되었습니다.
그만큼 악성 코드 MS Visual Basic 언어로 작성되었으며 4 월 5 일 자신의 블로그에 자세한 분석을 게시 한 Xiaopeng Zhang이 분석했습니다.
그가 찾은 실행 파일은 POM.exe라고 불리며 일종의 설치 프로그램입니다. 이 작업이 실행될 때 filename.exe 및 filename.vbs라는 두 개의 파일을 % temp % 하위 폴더에 놓았습니다. 시작시 자동으로 실행되도록하기 위해 파일은 시스템 레지스트리에 시작 프로그램으로 자신을 추가하고 % temp % filename.exe를 실행합니다.
멀웨어는 일시 중단 된 하위 프로세스를 생성합니다.
filename.exe가 시작되면 자신을 보호하기 위해 동일한 하위 프로세스가 일시 중단 된 자식 프로세스가 생성됩니다.
그런 다음 자체 리소스에서 새 PE 파일을 추출하여 자식 프로세스의 메모리를 덮어 씁니다. 그러면 자식 프로세스의 실행이 재개됩니다.
- 관련: 2018 년 위협을 차단하는 Windows 10 용 최고의 맬웨어 방지 도구 7 가지
맬웨어가 데몬 프로그램을 삭제합니다.
또한 멀웨어는 Player라는 .Net 프로그램의 리소스에서 % temp % 폴더로 데몬 프로그램을 드롭하고이를 실행하여 filename.exe를 보호합니다. 데몬의 프로그램 이름은 세 개의 임의의 문자로 구성되며 그 목적은 명확하고 간단합니다.
기본 함수는 명령 줄 인수를 받아 filePath라는 문자열 변수에 저장합니다. 그런 다음, 파일 이름 .exe가 900 밀리 초마다 실행되는지 확인하는 스레드 함수를 생성합니다. filename.exe가 종료되면 다시 실행됩니다.
Zhang은 FortiGuard AntiVirus가 맬웨어를 감지하여 제거했다고 말했습니다. 우리는 당신이 통과하는 것이 좋습니다 Zhang의 자세한 메모 스파이웨어 및 작동 방식에 대해 자세히 알아보십시오.
확인해야 할 관련 이야기 :
- 'Windows에서 스파이웨어 감염을 감지했습니다!'란 무엇이며 제거하는 방법은 무엇입니까?
- 컴퓨터에서 스파이웨어 보호를 업데이트 할 수 없습니까?
- 다음 5 가지 소프트웨어 솔루션을 사용하여 Windows 10에서 WMV 파일 열기
