Oprogramowanie szpiegujące Agent Tesla rozprzestrzenia się za pośrednictwem dokumentów Microsoft Word

Złośliwe oprogramowanie Agent Tesla zostało rozprzestrzenione przez Microsoft Word dokumenty z zeszłego roku, a teraz wrócił, by nas prześladować. Najnowsza odmiana oprogramowania szpiegującego prosi ofiary o dwukrotne kliknięcie niebieskiej ikony, aby uzyskać wyraźniejszy widok w dokumencie programu Word.

Jeśli użytkownik jest na tyle nieostrożny, aby go kliknąć, spowoduje to wyodrębnienie pliku .exe z osadzonego obiektu do folder tymczasowy systemu a następnie uruchom go. To tylko przykład działania tego złośliwego oprogramowania.

Złośliwe oprogramowanie jest napisane w MS Visual Basic

złośliwe oprogramowanie jest napisany w języku MS Visual Basic i został przeanalizowany przez Xiaopeng Zhang, który opublikował szczegółową analizę na swoim blogu 5 kwietnia.

Znaleziony przez niego plik wykonywalny nazywał się POM.exe i jest to rodzaj programu instalacyjnego. Po uruchomieniu upuścił dwa pliki o nazwach filename.exe i filename.vbs do podfolderu %temp%. Aby uruchomić go automatycznie podczas uruchamiania, plik dodaje się do rejestru systemowego jako program startowy i uruchamia %temp%filename.exe.

Złośliwe oprogramowanie tworzy zawieszony proces potomny

Po uruchomieniu filename.exe doprowadzi to do utworzenia zawieszonego procesu potomnego z tym samym, co w celu ochrony samego siebie.

Następnie wyodrębni nowy plik PE z własnego zasobu, aby nadpisać pamięć procesu potomnego. Następnie następuje wznowienie wykonywania procesu potomnego.

• ZWIĄZANE Z: 7 najlepszych narzędzi antymalware dla systemu Windows 10 do blokowania zagrożeń w 2018 roku

Złośliwe oprogramowanie upuszcza program-demon

Szkodnik umieszcza również program Daemon z zasobu programu .Net o nazwie Player do folderu %temp% i uruchamia go w celu ochrony pliku nazwa_pliku.exe. Nazwa programu demona składa się z trzech losowych liter, a jej przeznaczenie jest jasne i proste.

Funkcja podstawowa otrzymuje argument wiersza poleceń i zapisuje go w zmiennej łańcuchowej o nazwie filePath. Następnie utworzy funkcję wątku, za pomocą której co 900 milisekund sprawdza, czy plik nazwa_pliku.exe jest uruchomiony. Jeśli plik filename.exe zostanie zabity, zostanie uruchomiony ponownie.

Zhang powiedział, że FortiGuard AntiVirus wykrył złośliwe oprogramowanie i usunął je. Zalecamy przejść przez Szczegółowe notatki Zhang aby dowiedzieć się więcej o oprogramowaniu szpiegującym i jego działaniu.

POWIĄZANE HISTORIE DO SPRAWDZENIA:

• Co to jest „Windows wykrył infekcję spyware!” i jak go usunąć?
• Nie możesz zaktualizować ochrony przed oprogramowaniem szpiegującym na swoim komputerze?
• Otwórz pliki WMV w systemie Windows 10 za pomocą tych 5 rozwiązań programowych