Oprogramowanie szpiegujące Agent Tesla rozprzestrzenia się za pośrednictwem dokumentów Microsoft Word

Agent Tesla spyware microsoft word .

Złośliwe oprogramowanie Agent Tesla zostało rozprzestrzenione przez Microsoft Word dokumenty z zeszłego roku, a teraz wrócił, by nas prześladować. Najnowsza odmiana oprogramowania szpiegującego prosi ofiary o dwukrotne kliknięcie niebieskiej ikony, aby uzyskać wyraźniejszy widok w dokumencie programu Word.

Jeśli użytkownik jest na tyle nieostrożny, aby go kliknąć, spowoduje to wyodrębnienie pliku .exe z osadzonego obiektu do folder tymczasowy systemu a następnie uruchom go. To tylko przykład działania tego złośliwego oprogramowania.

Złośliwe oprogramowanie jest napisane w MS Visual Basic

złośliwe oprogramowanie jest napisany w języku MS Visual Basic i został przeanalizowany przez Xiaopeng Zhang, który opublikował szczegółową analizę na swoim blogu 5 kwietnia.

Znaleziony przez niego plik wykonywalny nazywał się POM.exe i jest to rodzaj programu instalacyjnego. Po uruchomieniu upuścił dwa pliki o nazwach filename.exe i filename.vbs do podfolderu %temp%. Aby uruchomić go automatycznie podczas uruchamiania, plik dodaje się do rejestru systemowego jako program startowy i uruchamia %temp%filename.exe.

Złośliwe oprogramowanie tworzy zawieszony proces potomny

Po uruchomieniu filename.exe doprowadzi to do utworzenia zawieszonego procesu potomnego z tym samym, co w celu ochrony samego siebie.

Następnie wyodrębni nowy plik PE z własnego zasobu, aby nadpisać pamięć procesu potomnego. Następnie następuje wznowienie wykonywania procesu potomnego.

  • ZWIĄZANE Z: 7 najlepszych narzędzi antymalware dla systemu Windows 10 do blokowania zagrożeń w 2018 roku

Złośliwe oprogramowanie upuszcza program-demon

Szkodnik umieszcza również program Daemon z zasobu programu .Net o nazwie Player do folderu %temp% i uruchamia go w celu ochrony pliku nazwa_pliku.exe. Nazwa programu demona składa się z trzech losowych liter, a jej przeznaczenie jest jasne i proste.

Funkcja podstawowa otrzymuje argument wiersza poleceń i zapisuje go w zmiennej łańcuchowej o nazwie filePath. Następnie utworzy funkcję wątku, za pomocą której co 900 milisekund sprawdza, czy plik nazwa_pliku.exe jest uruchomiony. Jeśli plik filename.exe zostanie zabity, zostanie uruchomiony ponownie.

Zhang powiedział, że FortiGuard AntiVirus wykrył złośliwe oprogramowanie i usunął je. Zalecamy przejść przez Szczegółowe notatki Zhang aby dowiedzieć się więcej o oprogramowaniu szpiegującym i jego działaniu.

POWIĄZANE HISTORIE DO SPRAWDZENIA:

  • Co to jest „Windows wykrył infekcję spyware!” i jak go usunąć?
  • Nie możesz zaktualizować ochrony przed oprogramowaniem szpiegującym na swoim komputerze?
  • Otwórz pliki WMV w systemie Windows 10 za pomocą tych 5 rozwiązań programowych
ScanGuard Antivirus: Oto, co musisz o nim wiedzieć

ScanGuard Antivirus: Oto, co musisz o nim wiedziećAntywirusBezpieczeństwo Cybernetyczne

Wielu użytkowników zastanawiało się nad zasadnością antywirusa o nazwie ScanGuard.Niektórzy twierdzą, że zachowuje się bardziej jak złośliwe oprogramowanie niż narzędzie bezpieczeństwa.Inni uważają...

Czytaj więcej
5 najlepszych VPN dla PayPal do zarządzania finansami na całym świecie

5 najlepszych VPN dla PayPal do zarządzania finansami na całym świecieProblemy Z Pay PalemVpnBezpieczeństwo Cybernetyczne

Oszczędzająca czas wiedza na temat oprogramowania i sprzętu, która pomaga 200 mln użytkowników rocznie. Poprowadzi Cię z poradami, wiadomościami i wskazówkami, aby ulepszyć swoje życie technologicz...

Czytaj więcej
Astaroth rośnie w siłę, korzystając z kanałów YouTube dla C2

Astaroth rośnie w siłę, korzystając z kanałów YouTube dla C2Złośliwe OprogramowanieBezpieczeństwo Cybernetyczne

Astaroth nadal polega na kampaniach e-mailowych w celu dystrybucji i ma wykonanie bez plików, ale zyskał także trzy nowe duże aktualizacje.Jednym z nich jest nowe wykorzystanie kanałów YouTube dla ...

Czytaj więcej