Вредоносное ПО Agent Tesla распространилось через Microsoft Word документы в прошлом году, и теперь он вернулся, чтобы преследовать нас. Последний вариант шпионского ПО предлагает жертвам дважды щелкнуть синий значок, чтобы обеспечить более четкое представление в документе Word.
Если пользователь неосторожно щелкнет по нему, это приведет к извлечению файла .exe из встроенного объекта в папку. временная папка системы а затем запустите его. Это только пример того, как работает эта вредоносная программа.
Вредоносная программа написана на MS Visual Basic.
В вредоносное ПО написан на языке MS Visual Basic, и его проанализировал Сяопэн Чжан, разместивший подробный анализ в своем блоге 5 апреля.
Найденный им исполняемый файл назывался POM.exe, и это своего рода программа-установщик. При запуске он поместил два файла с именами filename.exe и filename.vbs в подпапку% temp%. Чтобы он запускался автоматически при запуске, файл добавляется в системный реестр как программа запуска и запускает% temp% filename.exe.
Вредоносная программа создает приостановленный дочерний процесс.
Когда запускается filename.exe, это приведет к созданию приостановленного дочернего процесса с таким же, чтобы защитить себя.
После этого он извлечет новый PE-файл из своего собственного ресурса, чтобы перезаписать память дочернего процесса. Затем наступает возобновление выполнения дочернего процесса.
- СВЯЗАННЫЕ С: 7 лучших средств защиты от вредоносных программ для Windows 10 для блокировки угроз в 2018 году
Вредоносная программа сбрасывает программу-демон
Вредоносная программа также помещает программу Daemon из ресурса программы .Net под названием Player в папку% temp% и запускает ее для защиты filename.exe. Имя программы демона состоит из трех случайных букв, и его цель ясна и проста.
Основная функция получает аргумент командной строки и сохраняет его в строковую переменную с именем filePath. После этого он создаст функцию потока, с помощью которой он проверяет, выполняется ли filename.exe каждые 900 миллисекунд. Если файл filename.exe убит, он запустится снова.
Чжан сказал, что FortiGuard AntiVirus обнаружил вредоносное ПО и устранил его. Рекомендуем пройти Подробные заметки Чжана чтобы узнать больше о шпионском ПО и о том, как оно работает.
СВЯЗАННЫЕ ИСТОРИИ, ЧТО НУЖНО ПРОВЕРИТЬ:
- Что такое «Windows обнаружила заражение шпионским ПО!» И как его удалить?
- Не можете обновить защиту от шпионского ПО на своем компьютере?
- Открывайте файлы WMV в Windows 10 с помощью этих 5 программных решений
