O spyware do agente Tesla se espalha por meio de documentos do Microsoft Word

How to effectively deal with bots on your site? The best protection against click fraud.
Agente Tesla, spyware, palavra da microsoft

O malware do agente Tesla se espalhou por meio de Microsoft Word documentos no ano passado, e agora voltou para nos assombrar. A última variante do spyware pede às vítimas que cliquem duas vezes em um ícone azul para permitir uma visão mais clara em um documento do Word.

Se o usuário for descuidado o suficiente para clicar nele, isso resultará na extração de um arquivo .exe do objeto incorporado para o pasta temporária do sistema e, em seguida, execute-o. Este é apenas um exemplo de como esse malware funciona.

O malware é escrito no MS Visual Basic

O malware é escrito na linguagem MS Visual Basic e foi analisado por Xiaopeng Zhang, que postou a análise detalhada em seu blog em 5 de abril.

O arquivo executável encontrado por ele se chama POM.exe e é uma espécie de programa instalador. Quando executado, ele colocou dois arquivos chamados filename.exe e filename.vbs na subpasta% temp%. Para que seja executado automaticamente na inicialização, o arquivo se adiciona ao registro do sistema como um programa de inicialização e executa% temp% filename.exe.

instagram story viewer

O malware cria um processo filho suspenso

Quando o arquivo.exe for iniciado, isso levará à criação de um processo filho suspenso com o mesmo para se proteger.

Depois disso, ele irá extrair um novo arquivo PE de seu próprio recurso para substituir a memória do processo filho. Então, a retomada da execução do processo filho vem.

  • RELACIONADO: 7 melhores ferramentas antimalware para Windows 10 para bloquear ameaças em 2018

O malware descarta um programa daemon

O malware também deixa um programa Daemon do recurso do programa .Net chamado Player na pasta% temp% e o executa para proteger o arquivo.exe. O nome do programa do daemon é composto por três letras aleatórias e sua finalidade é clara e simples.

A função primária recebe um argumento de linha de comando e o salva em uma variável de string chamada filePath. Depois disso, ele criará uma função de thread por meio da qual verifica se o filename.exe está sendo executado a cada 900 milissegundos. Se filename.exe for eliminado, ele será executado novamente.

Zhang disse que o FortiGuard AntiVirus detectou o malware e o eliminou. Recomendamos que você passe por Notas detalhadas de Zhang para saber mais sobre o spyware e como ele funciona.

HISTÓRIAS RELACIONADAS PARA VERIFICAR:

  • O que é ‘O Windows detectou infecção por spyware!’ E como removê-lo?
  • Não consegue atualizar a proteção contra spyware no seu computador?
  • Abra arquivos WMV no Windows 10 usando estas 5 soluções de software
Teachs.ru
O novo repositório da Microsoft pode ajudá-lo a implementar Zero Trust

O novo repositório da Microsoft pode ajudá-lo a implementar Zero TrustMicrosoftCíber Segurança

Zero Trust Deployment Center, uma coleção útil de guias sobre a implementação do modelo de segurança Zero Trust, foi lançado recentemente pela Microsoft.O repositório contém vários guias orientados...

Consulte Mais informação
Alerta: o Kaspersky detecta o primeiro botnet Mirai baseado em Windows

Alerta: o Kaspersky detecta o primeiro botnet Mirai baseado em WindowsMiraiCíber Segurança

As empresas dependentes de IoT estão agora enfrentando uma situação sem precedentes. As evidências sugerem que um novo propagador de malware Mirai surgiu com raízes no sistema operacional Windows d...

Consulte Mais informação
Drivers de GPU NVIDIA para Windows 10 obtêm correção de bug DoS

Drivers de GPU NVIDIA para Windows 10 obtêm correção de bug DoSDriver NvidiaCíber SegurançaGpu

A NVIDIA lançou atualizações de segurança para suas GPUs GeForce, Quadro, Tesla e NVS.A atualização corrige uma falha DoS / escalonamento de privilégios nos drivers.Existem muitas soluções eficazes...

Consulte Mais informação
ig stories viewer