O malware do agente Tesla se espalhou por meio de Microsoft Word documentos no ano passado, e agora voltou para nos assombrar. A última variante do spyware pede às vítimas que cliquem duas vezes em um ícone azul para permitir uma visão mais clara em um documento do Word.
Se o usuário for descuidado o suficiente para clicar nele, isso resultará na extração de um arquivo .exe do objeto incorporado para o pasta temporária do sistema e, em seguida, execute-o. Este é apenas um exemplo de como esse malware funciona.
O malware é escrito no MS Visual Basic
O malware é escrito na linguagem MS Visual Basic e foi analisado por Xiaopeng Zhang, que postou a análise detalhada em seu blog em 5 de abril.
O arquivo executável encontrado por ele se chama POM.exe e é uma espécie de programa instalador. Quando executado, ele colocou dois arquivos chamados filename.exe e filename.vbs na subpasta% temp%. Para que seja executado automaticamente na inicialização, o arquivo se adiciona ao registro do sistema como um programa de inicialização e executa% temp% filename.exe.
O malware cria um processo filho suspenso
Quando o arquivo.exe for iniciado, isso levará à criação de um processo filho suspenso com o mesmo para se proteger.
Depois disso, ele irá extrair um novo arquivo PE de seu próprio recurso para substituir a memória do processo filho. Então, a retomada da execução do processo filho vem.
- RELACIONADO: 7 melhores ferramentas antimalware para Windows 10 para bloquear ameaças em 2018
O malware descarta um programa daemon
O malware também deixa um programa Daemon do recurso do programa .Net chamado Player na pasta% temp% e o executa para proteger o arquivo.exe. O nome do programa do daemon é composto por três letras aleatórias e sua finalidade é clara e simples.
A função primária recebe um argumento de linha de comando e o salva em uma variável de string chamada filePath. Depois disso, ele criará uma função de thread por meio da qual verifica se o filename.exe está sendo executado a cada 900 milissegundos. Se filename.exe for eliminado, ele será executado novamente.
Zhang disse que o FortiGuard AntiVirus detectou o malware e o eliminou. Recomendamos que você passe por Notas detalhadas de Zhang para saber mais sobre o spyware e como ele funciona.
HISTÓRIAS RELACIONADAS PARA VERIFICAR:
- O que é ‘O Windows detectou infecção por spyware!’ E como removê-lo?
- Não consegue atualizar a proteção contra spyware no seu computador?
- Abra arquivos WMV no Windows 10 usando estas 5 soluções de software
