Aģenta Tesla ļaunprogrammatūra tika izplatīta, izmantojot Microsoft Word dokumenti pagājušajā gadā, un tagad tas atgriezās pie mums. Jaunākajā spiegprogrammatūras variantā upuriem tiek prasīts divreiz noklikšķināt uz zilas ikonas, lai Word dokumentā būtu skaidrāks skats.
Ja lietotājs ir pietiekami neuzmanīgs, lai uz tā noklikšķinātu, tas izraisīs .exe faila izvilkšanu no iegultā objekta mapē sistēmas pagaidu mapi un pēc tam palaidiet to. Šis ir tikai piemērs tam, kā darbojas šī ļaunprātīgā programmatūra.
Ļaunprātīgā programmatūra ir ierakstīta MS Visual Basic
The ļaunprātīgu programmatūru ir rakstīts MS Visual Basic valodā, un to analizēja Sjaopens Džans, kurš detalizētu analīzi ievietoja savā emuārā 5. aprīlī.
Viņa atrastais izpildāmā faila nosaukums bija POM.exe, un tā ir sava veida instalēšanas programma. Kad tas palika, tas nometa divus failus ar nosaukumu filename.exe un filename.vbs apakšmapē% temp%. Lai palaistu to automātiski, startējot, fails tiek pievienots sistēmas reģistram kā startēšanas programma un palaiž% temp% filename.exe.
Ļaunprātīga programmatūra rada apturētu bērna procesu
Kad sākas faila nosaukums.exe, tas novedīs pie tā, ka tiks izveidots apturēts bērnu process ar tādu pašu procesu, lai aizsargātu sevi.
Pēc tam tas no sava resursa izraksta jaunu PE failu, lai pārrakstītu bērna procesa atmiņu. Tad sākas bērna procesa izpildes atsākšana.
- SAISTĪTĀS: 7 labākie antimalware rīki operētājsistēmai Windows 10 draudu bloķēšanai 2018. gadā
Ļaunprātīgā programmatūra nomet dēmonu programmu
Ļaunprātīgā programmatūra arī nomet Daemon programmu no .Net programmas resursa ar nosaukumu Player uz mapi% temp% un palaiž to, lai aizsargātu filename.exe. Dēmona programmas nosaukums sastāv no trim nejaušiem burtiem, un tā mērķis ir skaidrs un vienkāršs.
Primārā funkcija saņem komandrindas argumentu un saglabā to virknes mainīgajā, ko sauc par filePath. Pēc tam tā izveidos pavediena funkciju, ar kuras palīdzību tā pārbauda, vai faila nosaukums.exe darbojas ik pēc 900 milisekundēm. Ja filename.exe tiks nogalināts, tas darbosies vēlreiz.
Džans sacīja, ka FortiGuard AntiVirus atklāja ļaunprātīgo programmatūru un to novērsa. Mēs iesakām jums iet cauri Džana detalizētās piezīmes lai uzzinātu vairāk par spiegprogrammatūru un kā tā darbojas.
SAISTĪTIE STĀSTI, KO PĀRBAUDĪT:
- Kas ir “Windows ir atklājis spiegprogrammatūru infekciju!” Un kā to noņemt?
- Vai nevarat atjaunināt spiegprogrammatūru aizsardzību savā datorā?
- Atveriet WMV failus operētājsistēmā Windows 10, izmantojot šos 5 programmatūras risinājumus
