Spyware van agent Tesla verspreidt zich via Microsoft Word-documenten

Agent Tesla spyware microsoft word

Agent Tesla-malware werd verspreid via Microsoft Word documenten vorig jaar, en nu kwam het terug om ons te achtervolgen. De nieuwste variant van de spyware vraagt ​​de slachtoffers om te dubbelklikken op een blauw pictogram om een ​​duidelijker beeld in een Word-document mogelijk te maken.

Als de gebruiker onvoorzichtig genoeg is om erop te klikken, zal dit resulteren in de extractie van een .exe-bestand van het ingesloten object in de tijdelijke map van het systeem en voer het dan uit. Dit is slechts een voorbeeld van hoe deze malware werkt.

De malware is geschreven in de MS Visual Basic

De malware is geschreven in de MS Visual Basic-taal en is geanalyseerd door Xiaopeng Zhang, die de gedetailleerde analyse op 5 april op zijn blog plaatste.

Het door hem gevonden uitvoerbare bestand heette POM.exe en het is een soort installatieprogramma. Toen dit werd uitgevoerd, liet het twee bestanden met de naam bestandsnaam.exe en bestandsnaam.vbs in de map %temp% vallen. Om het automatisch te laten starten bij het opstarten, voegt het bestand zichzelf toe aan het systeemregister als een opstartprogramma en voert het %temp%filename.exe uit.

De malware creëert een onderbroken onderliggend proces

Wanneer filename.exe wordt gestart, zal dit leiden tot het maken van een onderbroken onderliggend proces met hetzelfde om zichzelf te beschermen.

Hierna zal het een nieuw PE-bestand uit zijn eigen bron extraheren om het geheugen van het onderliggende proces te overschrijven. Dan komt het hervatten van de uitvoering van het onderliggende proces.

  • VERWANT: 7 beste antimalware-tools voor Windows 10 om bedreigingen in 2018 te blokkeren

De malware laat een daemon-programma vallen

De malware dropt ook een Daemon-programma van de .Net-programmabron genaamd Player in de map %temp% en start het op om bestandsnaam.exe te beschermen. De programmanaam van de daemon bestaat uit drie willekeurige letters en het doel is duidelijk en eenvoudig.

De primaire functie ontvangt een opdrachtregelargument en slaat het op in een tekenreeksvariabele met de naam filePath. Hierna zal het een thread-functie maken waarmee het elke 900 milliseconden controleert of bestandsnaam.exe wordt uitgevoerd. Als filename.exe wordt gedood, wordt het opnieuw uitgevoerd.

Zhang zei dat FortiGuard AntiVirus de malware heeft gedetecteerd en verwijderd. We raden u aan om door te gaan Gedetailleerde aantekeningen van Zhang om meer te weten te komen over de spyware en hoe deze werkt.

VERWANTE VERHALEN OM TE BEKIJKEN:

  • Wat is 'Windows heeft spyware-infectie gedetecteerd!' en hoe verwijder je het?
  • Kunt u de spywarebeveiliging op uw computer niet bijwerken?
  • Open WMV-bestanden in Windows 10 met deze 5 softwareoplossingen
Hoe te beschermen tegen browserlekken

Hoe te beschermen tegen browserlekkenCyberbeveiliging

Het beschermen van uw privacy online is belangrijk, maar hoe goed beschermen webbrowsers uw gegevens?Browserlekken komen vaak voor en in het artikel van vandaag laten we u zien hoe u kunt voorkomen...

Lees verder
Microsoft Defender ATP voor Ubuntu, Debian en meer komt eraan

Microsoft Defender ATP voor Ubuntu, Debian en meer komt eraanLinuxCyberbeveiliging

Microsoft Defender ATP voor Linux bereikt algemene beschikbaarheid.De antimalware-tool ondersteunt: Debian 9+, Ubuntu 16 LTS of hoger LTS en meer Linux-serverdistributies.Heb je de beste antimalwar...

Lees verder
Windows-kwetsbaarheden maken plaats voor nieuwe gevaarlijke DoubleAgent-malwaredreiging

Windows-kwetsbaarheden maken plaats voor nieuwe gevaarlijke DoubleAgent-malwaredreigingCyberbeveiliging

Net toen de online gemeenschap aan het herstellen was van de laatste golf van kwaadaardige aanvallen, is er een nieuwe dreiging opgedoken die Windows-gebruikers in gevaar brengt. De nieuwe dreiging...

Lees verder