Złośliwe oprogramowanie Agent Tesla zostało rozprzestrzenione przez Microsoft Word dokumenty z zeszłego roku, a teraz wrócił, by nas prześladować. Najnowsza odmiana oprogramowania szpiegującego prosi ofiary o dwukrotne kliknięcie niebieskiej ikony, aby uzyskać wyraźniejszy widok w dokumencie programu Word.
Jeśli użytkownik jest na tyle nieostrożny, aby go kliknąć, spowoduje to wyodrębnienie pliku .exe z osadzonego obiektu do folder tymczasowy systemu a następnie uruchom go. To tylko przykład działania tego złośliwego oprogramowania.
Złośliwe oprogramowanie jest napisane w MS Visual Basic
złośliwe oprogramowanie jest napisany w języku MS Visual Basic i został przeanalizowany przez Xiaopeng Zhang, który opublikował szczegółową analizę na swoim blogu 5 kwietnia.
Znaleziony przez niego plik wykonywalny nazywał się POM.exe i jest to rodzaj programu instalacyjnego. Po uruchomieniu upuścił dwa pliki o nazwach filename.exe i filename.vbs do podfolderu %temp%. Aby uruchomić go automatycznie podczas uruchamiania, plik dodaje się do rejestru systemowego jako program startowy i uruchamia %temp%filename.exe.
Złośliwe oprogramowanie tworzy zawieszony proces potomny
Po uruchomieniu filename.exe doprowadzi to do utworzenia zawieszonego procesu potomnego z tym samym, co w celu ochrony samego siebie.
Następnie wyodrębni nowy plik PE z własnego zasobu, aby nadpisać pamięć procesu potomnego. Następnie następuje wznowienie wykonywania procesu potomnego.
- ZWIĄZANE Z: 7 najlepszych narzędzi antymalware dla systemu Windows 10 do blokowania zagrożeń w 2018 roku
Złośliwe oprogramowanie upuszcza program-demon
Szkodnik umieszcza również program Daemon z zasobu programu .Net o nazwie Player do folderu %temp% i uruchamia go w celu ochrony pliku nazwa_pliku.exe. Nazwa programu demona składa się z trzech losowych liter, a jej przeznaczenie jest jasne i proste.
Funkcja podstawowa otrzymuje argument wiersza poleceń i zapisuje go w zmiennej łańcuchowej o nazwie filePath. Następnie utworzy funkcję wątku, za pomocą której co 900 milisekund sprawdza, czy plik nazwa_pliku.exe jest uruchomiony. Jeśli plik filename.exe zostanie zabity, zostanie uruchomiony ponownie.
Zhang powiedział, że FortiGuard AntiVirus wykrył złośliwe oprogramowanie i usunął je. Zalecamy przejść przez Szczegółowe notatki Zhang aby dowiedzieć się więcej o oprogramowaniu szpiegującym i jego działaniu.
POWIĄZANE HISTORIE DO SPRAWDZENIA:
- Co to jest „Windows wykrył infekcję spyware!” i jak go usunąć?
- Nie możesz zaktualizować ochrony przed oprogramowaniem szpiegującym na swoim komputerze?
- Otwórz pliki WMV w systemie Windows 10 za pomocą tych 5 rozwiązań programowych