Agento „Tesla“ kenkėjiška programa išplito per Microsoft word dokumentus pernai, o dabar tai vėl mus persekiojo. Naujausiame šnipinėjimo programos variante aukos prašomos dukart spustelėti mėlyną piktogramą, kad būtų aiškesnis „Word“ dokumento vaizdas.
Jei vartotojas yra pakankamai neatsargus, kad jį spustelėtų, tai iš įdėto objekto išgaus .exe failą į sistemos laikinasis aplankas ir tada paleiskite jį. Tai tik šios kenkėjiškos programos pavyzdys.
Kenkėjiška programa yra parašyta „MS Visual Basic“
The kenkėjiškos programos parašyta „MS Visual Basic“ kalba, ir ją išanalizavo Xiaopengas Zhangas, kuris išsamią analizę paskelbė savo tinklaraštyje balandžio 5 d.
Jo rastas vykdomasis failas buvo vadinamas POM.exe, ir tai yra tarsi diegimo programa. Kai tai įvyko, ji metė du failus pavadinimu filename.exe ir filename.vbs į aplanką% temp%. Kad paleisties metu jis veiktų automatiškai, failas įtraukia save į sistemos registrą kaip paleisties programą ir paleidžia% temp% filename.exe.
Kenkėjiška programa sukuria sustabdytą vaiko procesą
Kai prasidės failo pavadinimas.exe, bus sukurtas laikinai sustabdytas vaiko procesas su tuo pačiu procesu, kad būtų galima apsisaugoti.
Po to jis iš savo išteklių išgaus naują PE failą, kad perrašytų vaiko proceso atmintį. Tada ateina vaiko proceso vykdymo atnaujinimas.
- SUSIJĘS: 7 geriausi „Windows 10“ antimalware įrankiai, skirti užkirsti kelią grėsmėms 2018 m
Kenkėjiška programa nutraukia „daemon“ programą
Kenkėjiška programa taip pat numeta „Daemon“ programą iš .net programos šaltinio, pavadinto „Player“, į aplanką% temp% ir paleidžia jį, kad apsaugotų filename.exe. Dėmono programos pavadinimas susideda iš trijų atsitiktinių raidžių, o jo paskirtis yra aiški ir paprasta.
Pagrindinė funkcija gauna komandinės eilutės argumentą ir išsaugo ją eilutės kintamajame, vadinamame filePath. Po to jis sukurs gijos funkciją, per kurią patikrins, ar failo pavadinimas.exe veikia kas 900 milisekundžių. Jei filename.exe bus nužudytas, jis vėl bus paleistas.
Zhangas teigė, kad „FortiGuard AntiVirus“ aptiko kenkėjišką programą ir ją pašalino. Mes rekomenduojame jums pereiti Išsamūs Zhango užrašai sužinoti daugiau apie šnipinėjimo programas ir kaip jie veikia.
Susijusios istorijos, kurias reikia patikrinti:
- Kas yra „Windows aptiko šnipinėjimo programų infekciją!“ Ir kaip ją pašalinti?
- Ar negalite atnaujinti apsaugos nuo šnipinėjimo programų savo kompiuteryje?
- Atidarykite WMV failus sistemoje „Windows 10“ naudodami šiuos 5 programinės įrangos sprendimus
