Oprogramowanie szpiegujące Agent Tesla rozprzestrzenia się za pośrednictwem dokumentów Microsoft Word

Agent Tesla spyware microsoft word .

Złośliwe oprogramowanie Agent Tesla zostało rozprzestrzenione przez Microsoft Word dokumenty z zeszłego roku, a teraz wrócił, by nas prześladować. Najnowsza odmiana oprogramowania szpiegującego prosi ofiary o dwukrotne kliknięcie niebieskiej ikony, aby uzyskać wyraźniejszy widok w dokumencie programu Word.

Jeśli użytkownik jest na tyle nieostrożny, aby go kliknąć, spowoduje to wyodrębnienie pliku .exe z osadzonego obiektu do folder tymczasowy systemu a następnie uruchom go. To tylko przykład działania tego złośliwego oprogramowania.

Złośliwe oprogramowanie jest napisane w MS Visual Basic

złośliwe oprogramowanie jest napisany w języku MS Visual Basic i został przeanalizowany przez Xiaopeng Zhang, który opublikował szczegółową analizę na swoim blogu 5 kwietnia.

Znaleziony przez niego plik wykonywalny nazywał się POM.exe i jest to rodzaj programu instalacyjnego. Po uruchomieniu upuścił dwa pliki o nazwach filename.exe i filename.vbs do podfolderu %temp%. Aby uruchomić go automatycznie podczas uruchamiania, plik dodaje się do rejestru systemowego jako program startowy i uruchamia %temp%filename.exe.

Złośliwe oprogramowanie tworzy zawieszony proces potomny

Po uruchomieniu filename.exe doprowadzi to do utworzenia zawieszonego procesu potomnego z tym samym, co w celu ochrony samego siebie.

Następnie wyodrębni nowy plik PE z własnego zasobu, aby nadpisać pamięć procesu potomnego. Następnie następuje wznowienie wykonywania procesu potomnego.

  • ZWIĄZANE Z: 7 najlepszych narzędzi antymalware dla systemu Windows 10 do blokowania zagrożeń w 2018 roku

Złośliwe oprogramowanie upuszcza program-demon

Szkodnik umieszcza również program Daemon z zasobu programu .Net o nazwie Player do folderu %temp% i uruchamia go w celu ochrony pliku nazwa_pliku.exe. Nazwa programu demona składa się z trzech losowych liter, a jej przeznaczenie jest jasne i proste.

Funkcja podstawowa otrzymuje argument wiersza poleceń i zapisuje go w zmiennej łańcuchowej o nazwie filePath. Następnie utworzy funkcję wątku, za pomocą której co 900 milisekund sprawdza, czy plik nazwa_pliku.exe jest uruchomiony. Jeśli plik filename.exe zostanie zabity, zostanie uruchomiony ponownie.

Zhang powiedział, że FortiGuard AntiVirus wykrył złośliwe oprogramowanie i usunął je. Zalecamy przejść przez Szczegółowe notatki Zhang aby dowiedzieć się więcej o oprogramowaniu szpiegującym i jego działaniu.

POWIĄZANE HISTORIE DO SPRAWDZENIA:

  • Co to jest „Windows wykrył infekcję spyware!” i jak go usunąć?
  • Nie możesz zaktualizować ochrony przed oprogramowaniem szpiegującym na swoim komputerze?
  • Otwórz pliki WMV w systemie Windows 10 za pomocą tych 5 rozwiązań programowych
Badacze znaleźli kolejny niezałatany błąd w systemie Windows

Badacze znaleźli kolejny niezałatany błąd w systemie WindowsMicrosoftBezpieczeństwo Cybernetyczne

Eksperci ds. bezpieczeństwa odkryli lukę w zabezpieczeniach systemu Windows ocenioną jako średnia. Umożliwia to zdalnym atakującym wykonanie dowolnego kodu i istnieje w ramach obsługi obiektów błęd...

Czytaj więcej
Twórcy WannaCry grożą, że wypuszczą więcej złośliwego oprogramowania na Windows 10

Twórcy WannaCry grożą, że wypuszczą więcej złośliwego oprogramowania na Windows 10Okna 10Bezpieczeństwo Cybernetyczne

Shadow Brokers to grupa hakerska, która ujawniła rzekome narzędzia hakerskie NSA, które zostały użyte w zeszłym tygodniu WannaCrypt chaos, co pozwala na uzbrajanie złośliwego oprogramowania na dużą...

Czytaj więcej
Zabezpiecz swoją przeglądarkę Chrome za pomocą rozszerzenia Avast Online Security

Zabezpiecz swoją przeglądarkę Chrome za pomocą rozszerzenia Avast Online SecurityBezpieczeństwo CybernetyczneGoogle Chrome

Zamiast naprawiać problemy z Chrome, możesz wypróbować lepszą przeglądarkę: OperaZasługujesz na lepszą przeglądarkę! 350 milionów ludzi codziennie korzysta z Opery, pełnowartościowej nawigacji, któ...

Czytaj więcej