O spyware do agente Tesla se espalha por meio de documentos do Microsoft Word

How to effectively deal with bots on your site? The best protection against click fraud.
Agente Tesla, spyware, palavra da microsoft

O malware do agente Tesla se espalhou por meio de Microsoft Word documentos no ano passado, e agora voltou para nos assombrar. A última variante do spyware pede às vítimas que cliquem duas vezes em um ícone azul para permitir uma visão mais clara em um documento do Word.

Se o usuário for descuidado o suficiente para clicar nele, isso resultará na extração de um arquivo .exe do objeto incorporado para o pasta temporária do sistema e, em seguida, execute-o. Este é apenas um exemplo de como esse malware funciona.

O malware é escrito no MS Visual Basic

O malware é escrito na linguagem MS Visual Basic e foi analisado por Xiaopeng Zhang, que postou a análise detalhada em seu blog em 5 de abril.

O arquivo executável encontrado por ele se chama POM.exe e é uma espécie de programa instalador. Quando executado, ele colocou dois arquivos chamados filename.exe e filename.vbs na subpasta% temp%. Para que seja executado automaticamente na inicialização, o arquivo se adiciona ao registro do sistema como um programa de inicialização e executa% temp% filename.exe.

instagram story viewer

O malware cria um processo filho suspenso

Quando o arquivo.exe for iniciado, isso levará à criação de um processo filho suspenso com o mesmo para se proteger.

Depois disso, ele irá extrair um novo arquivo PE de seu próprio recurso para substituir a memória do processo filho. Então, a retomada da execução do processo filho vem.

  • RELACIONADO: 7 melhores ferramentas antimalware para Windows 10 para bloquear ameaças em 2018

O malware descarta um programa daemon

O malware também deixa um programa Daemon do recurso do programa .Net chamado Player na pasta% temp% e o executa para proteger o arquivo.exe. O nome do programa do daemon é composto por três letras aleatórias e sua finalidade é clara e simples.

A função primária recebe um argumento de linha de comando e o salva em uma variável de string chamada filePath. Depois disso, ele criará uma função de thread por meio da qual verifica se o filename.exe está sendo executado a cada 900 milissegundos. Se filename.exe for eliminado, ele será executado novamente.

Zhang disse que o FortiGuard AntiVirus detectou o malware e o eliminou. Recomendamos que você passe por Notas detalhadas de Zhang para saber mais sobre o spyware e como ele funciona.

HISTÓRIAS RELACIONADAS PARA VERIFICAR:

  • O que é ‘O Windows detectou infecção por spyware!’ E como removê-lo?
  • Não consegue atualizar a proteção contra spyware no seu computador?
  • Abra arquivos WMV no Windows 10 usando estas 5 soluções de software
Teachs.ru
O Microsoft Edge oferece suporte ao Windows Defender Guard para melhor segurança

O Microsoft Edge oferece suporte ao Windows Defender Guard para melhor segurançaProblemas De Ponta Da MicrosoftCíber Segurança

Dado o mais recente ataques cibernéticos que foram recentemente iniciados através do navegador, segurança é algo que está começando a preocupar muitas empresas que usam Navegador Edge. No Ignite, a...

Consulte Mais informação
EFAIL é uma falha crítica de segurança de e-mail que quebra a criptografia do Outlook

EFAIL é uma falha crítica de segurança de e-mail que quebra a criptografia do OutlookCíber Segurança

Pesquisadores de segurança estão enviando um alerta para todo o mundo sobre uma falha crítica no OpenPGP e S / MIME ferramentas de criptografia de e-mail. A vulnerabilidade tem o codinome EFAIL e p...

Consulte Mais informação
A vulnerabilidade do MS Exchange Server dá privilégios de administrador aos hackers

A vulnerabilidade do MS Exchange Server dá privilégios de administrador aos hackersMicrosoft ExchangeCíber Segurança

Uma nova vulnerabilidade foi encontrada no Microsoft Exchange Server 2013, 2016 e 2019. Esta nova vulnerabilidade é chamada PrivExchange e é, na verdade, uma vulnerabilidade de dia zero.Explorando ...

Consulte Mais informação
ig stories viewer