Vohunska programska oprema agenta Tesla se širi prek dokumentov Microsoft Word

Agent Tesla vohunska programska oprema microsoft word

Zlonamerna programska oprema agenta Tesla se je razširila prek Microsoft Word dokumenti lani, zdaj pa nas je spet preganjalo. Najnovejša različica vohunske programske opreme zahteva, da žrtve dvakrat kliknejo na modro ikono, da omogočijo jasnejši pogled v Wordovem dokumentu.

Če je uporabnik dovolj nepreviden, da ga klikne, bo to povzročilo ekstrakcijo datoteke .exe iz vdelanega predmeta v začasna mapa sistema in ga nato zaženite. To je le primer, kako deluje ta zlonamerna programska oprema.

Zlonamerna programska oprema je zapisana v MS Visual Basic

The zlonamerne programske opreme je napisan v jeziku MS Visual Basic, analiziral pa ga je Xiaopeng Zhang, ki je podrobno analizo objavil na svojem blogu 5. aprila.

Izvršljiva datoteka, ki jo je našel, se je imenovala POM.exe in je nekakšen program za namestitev. Ko se je to zagnalo, je v podmapo% temp% spustil dve datoteki z imenom filename.exe in filename.vbs. Da se samodejno zažene ob zagonu, se datoteka doda v sistemski register kot zagonski program in zažene% temp% filename.exe.

Zlonamerna programska oprema ustvari začasno prekinjen proces

Ko se filename.exe zažene, bo to privedlo do ustvarjenega suspendiranega podrejenega procesa z istim, da se zaščiti.

Po tem bo iz lastnega vira izvlekel novo datoteko PE, da bo prepisal spomin otroškega procesa. Nato pride do nadaljevanja izvršitve otroškega procesa.

  • POVEZANE: 7 najboljših orodij za zaščito pred škodljivo programsko opremo za Windows 10 za blokiranje groženj v letu 2018

Zlonamerna programska oprema izpusti demon program

Zlonamerna programska oprema spušča tudi program Daemon iz vira programa .Net, imenovanega Player, v mapo% temp% in ga zažene, da zaščiti filename.exe. Ime programa demona je sestavljeno iz treh naključnih črk, njegov namen pa je jasen in preprost.

Primarna funkcija prejme argument ukazne vrstice in ga shrani v spremenljivko niza, ki se imenuje filePath. Po tem bo ustvaril funkcijo niti, s katero preveri, ali se filename.exe izvaja vsakih 900 milisekund. Če je filename.exe ubit, se bo znova zagnal.

Zhang je dejal, da je FortiGuard AntiVirus odkril škodljivo programsko opremo in jo odpravil. Priporočamo, da nadaljujete Podrobne opombe Zhanga če želite izvedeti več o vohunski programski opremi in kako deluje.

POVEZANE ZGODBE ZA OGLAŠEVANJE:

  • Kaj je »Windows je zaznal okužbo z vohunsko programsko opremo!« In kako ga odstraniti?
  • Ne morete posodobiti zaščite pred vohunsko programsko opremo v računalniku?
  • Odprite datoteke WMV v sistemu Windows 10 s pomočjo teh 5 programskih rešitev
5 najboljših odprtokodnih protivirusnih programov [Windows 10 in Mac]

5 najboljših odprtokodnih protivirusnih programov [Windows 10 in Mac]OdprtokodnoProtivirusni ProgramSpletna Varnost

Odprtokodni protivirusni program je namenjen odstranjevanju zlonamerne programske opreme in njegova izvorna koda je na voljo brezplačno.BullGuard tekmuje z najboljšim brezplačnim odprtokodnim proti...

Preberi več
Zlonamerna programska oprema Foxiebro: Kako deluje in kako jo odstraniti

Zlonamerna programska oprema Foxiebro: Kako deluje in kako jo odstranitiZlonamerna Programska OpremaSpletna Varnost

Verjetno ste opazili, da se pojavljajo nenavadna e-poštna sporočila ali agresivni oglasi.Možno je, da je vaša naprava ujela zlonamerno programsko opremo za spreminjanje brskalnika Win32 / Foxiebro....

Preberi več
Virus MEMZ: kaj je to in kako ga za vedno odstraniti

Virus MEMZ: kaj je to in kako ga za vedno odstranitiVirusSpletna Varnost

Virus MEMZ, sprva neškodljiv, lahko resno poškoduje vaš računalnik. Tako ga morate odstraniti čim hitreje.Če se ga želite znebiti, lahko poskusite s preprostim ukazom v ukaznem pozivu sistema Windo...

Preberi več