Oprogramowanie szpiegujące Agent Tesla rozprzestrzenia się za pośrednictwem dokumentów Microsoft Word

Agent Tesla spyware microsoft word .

Złośliwe oprogramowanie Agent Tesla zostało rozprzestrzenione przez Microsoft Word dokumenty z zeszłego roku, a teraz wrócił, by nas prześladować. Najnowsza odmiana oprogramowania szpiegującego prosi ofiary o dwukrotne kliknięcie niebieskiej ikony, aby uzyskać wyraźniejszy widok w dokumencie programu Word.

Jeśli użytkownik jest na tyle nieostrożny, aby go kliknąć, spowoduje to wyodrębnienie pliku .exe z osadzonego obiektu do folder tymczasowy systemu a następnie uruchom go. To tylko przykład działania tego złośliwego oprogramowania.

Złośliwe oprogramowanie jest napisane w MS Visual Basic

złośliwe oprogramowanie jest napisany w języku MS Visual Basic i został przeanalizowany przez Xiaopeng Zhang, który opublikował szczegółową analizę na swoim blogu 5 kwietnia.

Znaleziony przez niego plik wykonywalny nazywał się POM.exe i jest to rodzaj programu instalacyjnego. Po uruchomieniu upuścił dwa pliki o nazwach filename.exe i filename.vbs do podfolderu %temp%. Aby uruchomić go automatycznie podczas uruchamiania, plik dodaje się do rejestru systemowego jako program startowy i uruchamia %temp%filename.exe.

Złośliwe oprogramowanie tworzy zawieszony proces potomny

Po uruchomieniu filename.exe doprowadzi to do utworzenia zawieszonego procesu potomnego z tym samym, co w celu ochrony samego siebie.

Następnie wyodrębni nowy plik PE z własnego zasobu, aby nadpisać pamięć procesu potomnego. Następnie następuje wznowienie wykonywania procesu potomnego.

  • ZWIĄZANE Z: 7 najlepszych narzędzi antymalware dla systemu Windows 10 do blokowania zagrożeń w 2018 roku

Złośliwe oprogramowanie upuszcza program-demon

Szkodnik umieszcza również program Daemon z zasobu programu .Net o nazwie Player do folderu %temp% i uruchamia go w celu ochrony pliku nazwa_pliku.exe. Nazwa programu demona składa się z trzech losowych liter, a jej przeznaczenie jest jasne i proste.

Funkcja podstawowa otrzymuje argument wiersza poleceń i zapisuje go w zmiennej łańcuchowej o nazwie filePath. Następnie utworzy funkcję wątku, za pomocą której co 900 milisekund sprawdza, czy plik nazwa_pliku.exe jest uruchomiony. Jeśli plik filename.exe zostanie zabity, zostanie uruchomiony ponownie.

Zhang powiedział, że FortiGuard AntiVirus wykrył złośliwe oprogramowanie i usunął je. Zalecamy przejść przez Szczegółowe notatki Zhang aby dowiedzieć się więcej o oprogramowaniu szpiegującym i jego działaniu.

POWIĄZANE HISTORIE DO SPRAWDZENIA:

  • Co to jest „Windows wykrył infekcję spyware!” i jak go usunąć?
  • Nie możesz zaktualizować ochrony przed oprogramowaniem szpiegującym na swoim komputerze?
  • Otwórz pliki WMV w systemie Windows 10 za pomocą tych 5 rozwiązań programowych
Zabezpiecz swoją przeglądarkę Chrome za pomocą rozszerzenia Avast Online Security

Zabezpiecz swoją przeglądarkę Chrome za pomocą rozszerzenia Avast Online SecurityBezpieczeństwo CybernetyczneGoogle Chrome

Zamiast naprawiać problemy z Chrome, możesz wypróbować lepszą przeglądarkę: OperaZasługujesz na lepszą przeglądarkę! 350 milionów ludzi codziennie korzysta z Opery, pełnowartościowej nawigacji, któ...

Czytaj więcej
Wcry to darmowe narzędzie do deszyfrowania oprogramowania ransomware dla systemu Windows XP

Wcry to darmowe narzędzie do deszyfrowania oprogramowania ransomware dla systemu Windows XPRansomwareBezpieczeństwo Cybernetyczne

Aby naprawić różne problemy z komputerem, zalecamy Restoro PC Repair Tool:To oprogramowanie naprawi typowe błędy komputera, ochroni Cię przed utratą plików, złośliwym oprogramowaniem, awarią sprzęt...

Czytaj więcej
Jak chronić się przed wyciekami przeglądarki

Jak chronić się przed wyciekami przeglądarkiBezpieczeństwo Cybernetyczne

Ochrona Twojej prywatności w Internecie jest ważna, ale jak dobrze przeglądarki internetowe chronią Twoje dane?Wycieki z przeglądarek są częstym zjawiskiem, a w dzisiejszym artykule pokażemy, jak z...

Czytaj więcej