Spyware van agent Tesla verspreidt zich via Microsoft Word-documenten

How to effectively deal with bots on your site? The best protection against click fraud.
Agent Tesla spyware microsoft word

Agent Tesla-malware werd verspreid via Microsoft Word documenten vorig jaar, en nu kwam het terug om ons te achtervolgen. De nieuwste variant van de spyware vraagt ​​de slachtoffers om te dubbelklikken op een blauw pictogram om een ​​duidelijker beeld in een Word-document mogelijk te maken.

Als de gebruiker onvoorzichtig genoeg is om erop te klikken, zal dit resulteren in de extractie van een .exe-bestand van het ingesloten object in de tijdelijke map van het systeem en voer het dan uit. Dit is slechts een voorbeeld van hoe deze malware werkt.

De malware is geschreven in de MS Visual Basic

De malware is geschreven in de MS Visual Basic-taal en is geanalyseerd door Xiaopeng Zhang, die de gedetailleerde analyse op 5 april op zijn blog plaatste.

Het door hem gevonden uitvoerbare bestand heette POM.exe en het is een soort installatieprogramma. Toen dit werd uitgevoerd, liet het twee bestanden met de naam bestandsnaam.exe en bestandsnaam.vbs in de map %temp% vallen. Om het automatisch te laten starten bij het opstarten, voegt het bestand zichzelf toe aan het systeemregister als een opstartprogramma en voert het %temp%filename.exe uit.

instagram story viewer

De malware creëert een onderbroken onderliggend proces

Wanneer filename.exe wordt gestart, zal dit leiden tot het maken van een onderbroken onderliggend proces met hetzelfde om zichzelf te beschermen.

Hierna zal het een nieuw PE-bestand uit zijn eigen bron extraheren om het geheugen van het onderliggende proces te overschrijven. Dan komt het hervatten van de uitvoering van het onderliggende proces.

  • VERWANT: 7 beste antimalware-tools voor Windows 10 om bedreigingen in 2018 te blokkeren

De malware laat een daemon-programma vallen

De malware dropt ook een Daemon-programma van de .Net-programmabron genaamd Player in de map %temp% en start het op om bestandsnaam.exe te beschermen. De programmanaam van de daemon bestaat uit drie willekeurige letters en het doel is duidelijk en eenvoudig.

De primaire functie ontvangt een opdrachtregelargument en slaat het op in een tekenreeksvariabele met de naam filePath. Hierna zal het een thread-functie maken waarmee het elke 900 milliseconden controleert of bestandsnaam.exe wordt uitgevoerd. Als filename.exe wordt gedood, wordt het opnieuw uitgevoerd.

Zhang zei dat FortiGuard AntiVirus de malware heeft gedetecteerd en verwijderd. We raden u aan om door te gaan Gedetailleerde aantekeningen van Zhang om meer te weten te komen over de spyware en hoe deze werkt.

VERWANTE VERHALEN OM TE BEKIJKEN:

  • Wat is 'Windows heeft spyware-infectie gedetecteerd!' en hoe verwijder je het?
  • Kunt u de spywarebeveiliging op uw computer niet bijwerken?
  • Open WMV-bestanden in Windows 10 met deze 5 softwareoplossingen
Teachs.ru
BullGuard heeft nieuwe antimalware-engine en wifi-scanner voor thuis

BullGuard heeft nieuwe antimalware-engine en wifi-scanner voor thuisBullguard OplossingenCyberbeveiliging

BullGuard is een begrip in de cyberbeveiligingsmarkt, die zojuist zijn anti-malware-engine van de volgende generatie heeft gelanceerd.Dit is een van de beste door AI aangedreven antivirusprogramma'...

Lees verder
Hoe installeer ik Windows Defender Browser Protection

Hoe installeer ik Windows Defender Browser ProtectionCyberbeveiliging

Henicrosoft Defender Browser Protection is een uitstekende add-on voor online bescherming.Deze extensie is ontworpen om uw systeem beter te beschermen tegen online phishing en malware.Het is extree...

Lees verder
5+ beste antivirussoftware voor gaming-pc's [Gamers' Guide]

5+ beste antivirussoftware voor gaming-pc's [Gamers' Guide]Cyberbeveiliging

ESET beschermt tegen elk type malware, inclusief virussen, ransomware, wormen en spyware. Het is dus uw beste kans als u een lichtgewicht en niet-opdringerige antivirus voor uw gaming-pc wilt.De ef...

Lees verder
ig stories viewer