Spyvér Agent Tesla sa šíri prostredníctvom dokumentov aplikácie Microsoft Word

Agent Tesla spyware Microsoft Word

Malvér agenta Tesla sa rozšíril prostredníctvom Microsoft Word dokumenty minulý rok, a teraz sa nás to strašilo. Posledná verzia spywaru žiada obete, aby dvakrát klikli na modrú ikonu, čím umožnia jasnejšie zobrazenie v dokumente Word.

Ak je používateľ nedbalý na to, aby na ňu klikol, bude to mať za následok extrakciu súboru .exe z vloženého objektu do dočasný priečinok systému a potom to spustiť. Toto je iba príklad toho, ako tento malware funguje.

Malvér je napísaný v jazyku MS Visual Basic

The malvér je napísaný v jazyku MS Visual Basic a analyzoval ju Xiaopeng Zhang, ktorý podrobnú analýzu zverejnil na svojom blogu 5. apríla.

Nájdený spustiteľný súbor sa nazýval POM.exe a je to akýsi inštalačný program. Keď to prebehlo, boli do podpriečinka% temp% vložené dva súbory s názvom filename.exe a filename.vbs. Aby sa súbor spustil automaticky pri štarte, súbor sa sám pridá do systémového registra ako program pri štarte a spustí súbor% temp% filename.exe.

Malvér vytvára pozastavený podradený proces

Keď sa spustí súbor filename.exe, povedie to k vytvoreniu pozastaveného podradeného procesu s rovnakým procesom, ktorý sa chráni.

Potom extrahuje nový súbor PE z vlastného zdroja, aby prepísal pamäť podradeného procesu. Potom nastáva obnovenie vykonávania podradeného procesu.

  • SÚVISIACE: Sedem najlepších antimalwarových nástrojov pre Windows 10 na blokovanie hrozieb v roku 2018

Malvér odstráni program démonov

Malvér tiež odstráni program Daemon z prostriedku programu .Net nazývaného Player do priečinka% temp% a spustí ho na ochranu názvu súboru.exe. Názov programu démona je zložený z troch náhodných písmen a jeho účel je jasný a jednoduchý.

Primárna funkcia prijme argument príkazového riadku a uloží ho do premennej reťazca, ktorá sa nazýva filePath. Potom vytvorí funkciu vlákna, pomocou ktorej skontroluje, či súbor filename.exe beží každých 900 milisekúnd. Ak je názov súboru.exe zabitý, spustí sa znova.

Zhang uviedol, že FortiGuard AntiVirus detekoval malware a eliminoval ho. Odporúčame vám prejsť si Zhangove podrobné poznámky Ak sa chcete dozvedieť viac informácií o spyware a o tom, ako funguje.

SÚVISIACE PRÍBEHY KONTROLY:

  • Čo je „Systém Windows zistil infekciu spyware!“ A ako ho odstrániť?
  • Nemôžete vo svojom počítači aktualizovať ochranu pred spywarom?
  • Pomocou týchto 5 softvérových riešení otvárajte súbory WMV v systéme Windows 10
Stiahnite si multiplatformový antivírus Bitdefender Total Security 2020

Stiahnite si multiplatformový antivírus Bitdefender Total Security 2020AntivírusOpravy BitdefenderuKyber Ochrana

ESET Antivírus prichádza so všetkými bezpečnostnými nástrojmi, ktoré budete niekedy potrebovať na ochranu svojich údajov a súkromia, vrátane:Podpora proti krádežiOchrana webovej kameryIntuitívne na...

Čítaj viac
Bitdefender Internet Security 2019: najlepší antivírus pre Windows

Bitdefender Internet Security 2019: najlepší antivírus pre WindowsAntivírusKyber Ochrana

Bitdefender nedávno vydal svoju novú sadu bezpečnostných produktov a my sme ju už skontrolovali Bitdefender Total Security 2019 softvér.Ak však neplánujete používať určité funkcie z Total Security ...

Čítaj viac
Stiahnite si Bitdefender VPN: Jeden z najlepších nástrojov VPN pre PC

Stiahnite si Bitdefender VPN: Jeden z najlepších nástrojov VPN pre PCVpnOpravy BitdefenderuKyber Ochrana

Bitdefender je renomovaný producent antivírusového softvéru, ktorý sa taktiež pripojil na trh VPN.Ich VPN nie je skutočne špičkové ako samostatné riešenie VPN.Dokončuje však ich profesionálne bezpe...

Čítaj viac