O spyware do agente Tesla se espalha por meio de documentos do Microsoft Word

Agente Tesla, spyware, palavra da microsoft

O malware do agente Tesla se espalhou por meio de Microsoft Word documentos no ano passado, e agora voltou para nos assombrar. A última variante do spyware pede às vítimas que cliquem duas vezes em um ícone azul para permitir uma visão mais clara em um documento do Word.

Se o usuário for descuidado o suficiente para clicar nele, isso resultará na extração de um arquivo .exe do objeto incorporado para o pasta temporária do sistema e, em seguida, execute-o. Este é apenas um exemplo de como esse malware funciona.

O malware é escrito no MS Visual Basic

O malware é escrito na linguagem MS Visual Basic e foi analisado por Xiaopeng Zhang, que postou a análise detalhada em seu blog em 5 de abril.

O arquivo executável encontrado por ele se chama POM.exe e é uma espécie de programa instalador. Quando executado, ele colocou dois arquivos chamados filename.exe e filename.vbs na subpasta% temp%. Para que seja executado automaticamente na inicialização, o arquivo se adiciona ao registro do sistema como um programa de inicialização e executa% temp% filename.exe.

O malware cria um processo filho suspenso

Quando o arquivo.exe for iniciado, isso levará à criação de um processo filho suspenso com o mesmo para se proteger.

Depois disso, ele irá extrair um novo arquivo PE de seu próprio recurso para substituir a memória do processo filho. Então, a retomada da execução do processo filho vem.

  • RELACIONADO: 7 melhores ferramentas antimalware para Windows 10 para bloquear ameaças em 2018

O malware descarta um programa daemon

O malware também deixa um programa Daemon do recurso do programa .Net chamado Player na pasta% temp% e o executa para proteger o arquivo.exe. O nome do programa do daemon é composto por três letras aleatórias e sua finalidade é clara e simples.

A função primária recebe um argumento de linha de comando e o salva em uma variável de string chamada filePath. Depois disso, ele criará uma função de thread por meio da qual verifica se o filename.exe está sendo executado a cada 900 milissegundos. Se filename.exe for eliminado, ele será executado novamente.

Zhang disse que o FortiGuard AntiVirus detectou o malware e o eliminou. Recomendamos que você passe por Notas detalhadas de Zhang para saber mais sobre o spyware e como ele funciona.

HISTÓRIAS RELACIONADAS PARA VERIFICAR:

  • O que é ‘O Windows detectou infecção por spyware!’ E como removê-lo?
  • Não consegue atualizar a proteção contra spyware no seu computador?
  • Abra arquivos WMV no Windows 10 usando estas 5 soluções de software
Como fazer a varredura do Google Drive em busca de vírus [melhores métodos]

Como fazer a varredura do Google Drive em busca de vírus [melhores métodos]Cíber SegurançaGoogle Drive

Se você conseguir o O Google Drive não pode verificar este arquivo em busca de vírus mensagem, isso significa que seu arquivo tem mais de 100 MB.Na verdade, esse serviço de armazenamento em nuvem t...

Consulte Mais informação
Como se livrar do Malware. Explorar. Agente. Mensagem genérica

Como se livrar do Malware. Explorar. Agente. Mensagem genéricaRemoção De MalwareCíber Segurança

O Malware. Explorar. Agente. Um aviso genérico aparece ao trabalhar no Word e PowerPoint.Conforme confirmado por inúmeros usuários, o erro os impede de salvar arquivos do Microsoft Office.Mude para...

Consulte Mais informação
5+ melhores gerenciadores de senha do Windows 10 para usar este ano

5+ melhores gerenciadores de senha do Windows 10 para usar este anoGerenciar SenhasCíber Segurança

Experiência em software e hardware que economiza tempo e ajuda 200 milhões de usuários anualmente Orientando você com conselhos, notícias e dicas para atualizar sua vida tecnológica.O gerenciador d...

Consulte Mais informação