Agent Tesla spyware spres via Microsoft Word-dokumenter

Agent Tesla spyware Microsoft Word

Agent Tesla malware ble spredt via Microsoft Word dokumenter i fjor, og nå kom det tilbake for å hjemsøke oss. Den siste varianten av spionprogrammet ber ofrene om å dobbeltklikke på et blått ikon for å aktivere en klarere visning i et Word-dokument.

Hvis brukeren er uforsiktig nok til å klikke på den, vil dette føre til at en .exe-fil ekstraheres fra det innebygde objektet til systemets midlertidige mappe og kjør den deretter. Dette er bare et eksempel på hvordan denne skadelige programvaren fungerer.

Skadelig programvare er skrevet i MS Visual Basic

De skadevare er skrevet på MS Visual Basic-språket, og det ble analysert av Xiaopeng Zhang som la ut den detaljerte analysen på bloggen sin 5. april.

Den kjørbare filen som ble funnet av ham, ble kalt POM.exe, og det er et slags installasjonsprogram. Når dette kjørte, droppet det to filer kalt filename.exe og filename.vbs i% temp% undermappe. For å få den til å kjøre automatisk ved oppstart, legger filen seg til systemregistret som et oppstartsprogram, og den kjører% temp% filename.exe.

Skadelig programvare oppretter en suspendert barneprosess

Når filename.exe starter, vil dette føre til opprettelsen av en suspendert barneprosess med den samme som for å beskytte seg selv.

Etter dette vil den trekke ut en ny PE-fil fra sin egen ressurs for å overskrive barneprosessens minne. Deretter kommer gjenopptakelsen av utførelsen av barneprosessen.

  • I SLEKT: 7 beste verktøy for antimalware for Windows 10 for å blokkere trusler i 2018

Skadelig programvare dropper et demonprogram

Skadelig programvare slipper også et Daemon-program fra .Net-programmets ressurs kalt Player i mappen% temp% og kjører det opp for å beskytte filename.exe. Daemons programnavn består av tre tilfeldige bokstaver, og formålet er klart og enkelt.

Primærfunksjonen mottar et kommandolinjeargument, og den lagrer den i en strengvariabel som kalles filePath. Etter dette vil den opprette en trådfunksjon som den sjekker for å se om filename.exe kjører hver 900 millisekund. Hvis filename.exe blir drept, vil den kjøre igjen.

Zhang sa at FortiGuard AntiVirus oppdaget skadelig programvare og eliminert den. Vi anbefaler at du går gjennom Zhangs detaljerte notater for å finne ut mer om spionprogrammet og hvordan det fungerer.

RELATERTE STORIER FOR Å KONTROLLERE:

  • Hva er ‘Windows har oppdaget spyware-infeksjon!’, Og hvordan kan jeg fjerne det?
  • Kan du ikke oppdatere spionvarevern på datamaskinen din?
  • Åpne WMV-filer i Windows 10 ved hjelp av disse 5 programvareløsningene
Slik aktiverer og konfigurerer du kontrollert mappetilgang for Windows 10

Slik aktiverer og konfigurerer du kontrollert mappetilgang for Windows 10Problemer Med Windows ForsvarerCybersikkerhet

For å fikse forskjellige PC-problemer, anbefaler vi DriverFix:Denne programvaren vil holde driverne dine i gang, og dermed beskytte deg mot vanlige datamaskinfeil og maskinvarefeil. Sjekk alle driv...

Les mer
Nye Windows 10-oppdateringer blokkerer nettlesere fra å laste inn begrensede data

Nye Windows 10-oppdateringer blokkerer nettlesere fra å laste inn begrensede dataWindows 10 NyheterWindows 10 OppdateringerCybersikkerhet

Microsofts siste oppdateringer om oppdateringen av Patch Tuesday har adressert 54 feil. Av disse 54 problemene gjelder 15 sikkerhetsproblemer Microsofts nettlesere. Dette viser bare hvor viktig det...

Les mer
Microsoft skynder seg å lappe en stor utnyttelse som påvirker amerikanske militære PC-er

Microsoft skynder seg å lappe en stor utnyttelse som påvirker amerikanske militære PC-erPatch TirsdagCybersikkerhet

Den første oppdateringen tirsdag 2020 er rett rundt hjørnet, og det ser ut til at Microsoft ikke begynner året veldig bra.Etter en veldig stille Desember 2019 Patch Tuesday med liten eller ingen en...

Les mer