Spyvér Agent Tesla sa šíri prostredníctvom dokumentov aplikácie Microsoft Word

Agent Tesla spyware Microsoft Word

Malvér agenta Tesla sa rozšíril prostredníctvom Microsoft Word dokumenty minulý rok, a teraz sa nás to strašilo. Posledná verzia spywaru žiada obete, aby dvakrát klikli na modrú ikonu, čím umožnia jasnejšie zobrazenie v dokumente Word.

Ak je používateľ nedbalý na to, aby na ňu klikol, bude to mať za následok extrakciu súboru .exe z vloženého objektu do dočasný priečinok systému a potom to spustiť. Toto je iba príklad toho, ako tento malware funguje.

Malvér je napísaný v jazyku MS Visual Basic

The malvér je napísaný v jazyku MS Visual Basic a analyzoval ju Xiaopeng Zhang, ktorý podrobnú analýzu zverejnil na svojom blogu 5. apríla.

Nájdený spustiteľný súbor sa nazýval POM.exe a je to akýsi inštalačný program. Keď to prebehlo, boli do podpriečinka% temp% vložené dva súbory s názvom filename.exe a filename.vbs. Aby sa súbor spustil automaticky pri štarte, súbor sa sám pridá do systémového registra ako program pri štarte a spustí súbor% temp% filename.exe.

Malvér vytvára pozastavený podradený proces

Keď sa spustí súbor filename.exe, povedie to k vytvoreniu pozastaveného podradeného procesu s rovnakým procesom, ktorý sa chráni.

Potom extrahuje nový súbor PE z vlastného zdroja, aby prepísal pamäť podradeného procesu. Potom nastáva obnovenie vykonávania podradeného procesu.

  • SÚVISIACE: Sedem najlepších antimalwarových nástrojov pre Windows 10 na blokovanie hrozieb v roku 2018

Malvér odstráni program démonov

Malvér tiež odstráni program Daemon z prostriedku programu .Net nazývaného Player do priečinka% temp% a spustí ho na ochranu názvu súboru.exe. Názov programu démona je zložený z troch náhodných písmen a jeho účel je jasný a jednoduchý.

Primárna funkcia prijme argument príkazového riadku a uloží ho do premennej reťazca, ktorá sa nazýva filePath. Potom vytvorí funkciu vlákna, pomocou ktorej skontroluje, či súbor filename.exe beží každých 900 milisekúnd. Ak je názov súboru.exe zabitý, spustí sa znova.

Zhang uviedol, že FortiGuard AntiVirus detekoval malware a eliminoval ho. Odporúčame vám prejsť si Zhangove podrobné poznámky Ak sa chcete dozvedieť viac informácií o spyware a o tom, ako funguje.

SÚVISIACE PRÍBEHY KONTROLY:

  • Čo je „Systém Windows zistil infekciu spyware!“ A ako ho odstrániť?
  • Nemôžete vo svojom počítači aktualizovať ochranu pred spywarom?
  • Pomocou týchto 5 softvérových riešení otvárajte súbory WMV v systéme Windows 10
Oprava zabezpečenia pre Windows 10. júna obsahuje obrovské opravy pre IE, Edge, Flash Player a OS Windows

Oprava zabezpečenia pre Windows 10. júna obsahuje obrovské opravy pre IE, Edge, Flash Player a OS WindowsNášivka UtorokKyber Ochrana

Mesačný program Patch Tuesday spoločnosti Microsoft obsahoval päť kritických bezpečnostných bulletinov zo 16, pričom jeden známy exploit. Okrem toho bola vydaná najnovšia verzia Windows 10 verzie 1...

Čítaj viac
Hardvérové ​​zabezpečenie počítača na prekazenie útokov Thunderspy

Hardvérové ​​zabezpečenie počítača na prekazenie útokov ThunderspyMicrosoftKyber Ochrana

Koncept zabezpečenia hardvéru podporovaného počítača naberá na sile každý deň.Spoločnosť Microsoft podporuje počítače so zabezpečeným jadrom ako protiopatrenie proti kybernetickým hrozbám, ako je n...

Čítaj viac
Program Windows Defender varuje používateľov pred viacerými hrozbami trójskych koní, iné antivírusové programy nenájdu nič

Program Windows Defender varuje používateľov pred viacerými hrozbami trójskych koní, iné antivírusové programy nenájdu ničProblémy S Obrancom WindowsKyber Ochrana

Mnoho používateľov to hlási Ochranca systému Windows sa v poslednej dobe správa zvláštne, neustále ich varuje pred mnohými trójskymi hrozbami. O to prekvapivejšie je, že iné antivírusové programy n...

Čítaj viac