Oprogramowanie szpiegujące Agent Tesla rozprzestrzenia się za pośrednictwem dokumentów Microsoft Word

Agent Tesla spyware microsoft word .

Złośliwe oprogramowanie Agent Tesla zostało rozprzestrzenione przez Microsoft Word dokumenty z zeszłego roku, a teraz wrócił, by nas prześladować. Najnowsza odmiana oprogramowania szpiegującego prosi ofiary o dwukrotne kliknięcie niebieskiej ikony, aby uzyskać wyraźniejszy widok w dokumencie programu Word.

Jeśli użytkownik jest na tyle nieostrożny, aby go kliknąć, spowoduje to wyodrębnienie pliku .exe z osadzonego obiektu do folder tymczasowy systemu a następnie uruchom go. To tylko przykład działania tego złośliwego oprogramowania.

Złośliwe oprogramowanie jest napisane w MS Visual Basic

złośliwe oprogramowanie jest napisany w języku MS Visual Basic i został przeanalizowany przez Xiaopeng Zhang, który opublikował szczegółową analizę na swoim blogu 5 kwietnia.

Znaleziony przez niego plik wykonywalny nazywał się POM.exe i jest to rodzaj programu instalacyjnego. Po uruchomieniu upuścił dwa pliki o nazwach filename.exe i filename.vbs do podfolderu %temp%. Aby uruchomić go automatycznie podczas uruchamiania, plik dodaje się do rejestru systemowego jako program startowy i uruchamia %temp%filename.exe.

Złośliwe oprogramowanie tworzy zawieszony proces potomny

Po uruchomieniu filename.exe doprowadzi to do utworzenia zawieszonego procesu potomnego z tym samym, co w celu ochrony samego siebie.

Następnie wyodrębni nowy plik PE z własnego zasobu, aby nadpisać pamięć procesu potomnego. Następnie następuje wznowienie wykonywania procesu potomnego.

  • ZWIĄZANE Z: 7 najlepszych narzędzi antymalware dla systemu Windows 10 do blokowania zagrożeń w 2018 roku

Złośliwe oprogramowanie upuszcza program-demon

Szkodnik umieszcza również program Daemon z zasobu programu .Net o nazwie Player do folderu %temp% i uruchamia go w celu ochrony pliku nazwa_pliku.exe. Nazwa programu demona składa się z trzech losowych liter, a jej przeznaczenie jest jasne i proste.

Funkcja podstawowa otrzymuje argument wiersza poleceń i zapisuje go w zmiennej łańcuchowej o nazwie filePath. Następnie utworzy funkcję wątku, za pomocą której co 900 milisekund sprawdza, czy plik nazwa_pliku.exe jest uruchomiony. Jeśli plik filename.exe zostanie zabity, zostanie uruchomiony ponownie.

Zhang powiedział, że FortiGuard AntiVirus wykrył złośliwe oprogramowanie i usunął je. Zalecamy przejść przez Szczegółowe notatki Zhang aby dowiedzieć się więcej o oprogramowaniu szpiegującym i jego działaniu.

POWIĄZANE HISTORIE DO SPRAWDZENIA:

  • Co to jest „Windows wykrył infekcję spyware!” i jak go usunąć?
  • Nie możesz zaktualizować ochrony przed oprogramowaniem szpiegującym na swoim komputerze?
  • Otwórz pliki WMV w systemie Windows 10 za pomocą tych 5 rozwiązań programowych
Windows Defender ostrzega użytkowników przed wieloma zagrożeniami trojanami, inne programy antywirusowe niczego nie znajdują

Windows Defender ostrzega użytkowników przed wieloma zagrożeniami trojanami, inne programy antywirusowe niczego nie znajdująProblemy Z Obrońcą Systemu WindowsBezpieczeństwo Cybernetyczne

Wielu użytkowników zgłasza, że Windows Defender zachowuje się ostatnio dziwnie, stale ostrzegając ich przed wieloma zagrożeniami trojanami. Co bardziej zaskakujące, inne programy antywirusowe nie w...

Czytaj więcej
Nowe komputery z zabezpieczonym rdzeniem do udaremnienia ataków RobbinHood

Nowe komputery z zabezpieczonym rdzeniem do udaremnienia ataków RobbinHoodMicrosoftOkna 10Bezpieczeństwo Cybernetyczne

Firma Microsoft dostarczyła szczegółowe informacje na temat komputerów z zabezpieczonym rdzeniem — nowej klasy urządzeń z wbudowanymi zabezpieczeniami przed zagrożeniami cyberbezpieczeństwa.Firma r...

Czytaj więcej
Te aplikacje wydobywają kryptowaluty na twoim komputerze

Te aplikacje wydobywają kryptowaluty na twoim komputerzeAplikacje Dla Systemu Windows 10Nowości W Systemie Windows 10Bezpieczeństwo Cybernetyczne

Firma Symantec zidentyfikowała ostatnio w Sklepie Windows około ośmiu złośliwych aplikacji dla systemu Windows 10, które zostały obwinione kopać kryptowaluty w tle. Według raportu tysiące użytkowni...

Czytaj więcej