Zlonamerna programska oprema agenta Tesla se je razširila prek Microsoft Word dokumenti lani, zdaj pa nas je spet preganjalo. Najnovejša različica vohunske programske opreme zahteva, da žrtve dvakrat kliknejo na modro ikono, da omogočijo jasnejši pogled v Wordovem dokumentu.
Če je uporabnik dovolj nepreviden, da ga klikne, bo to povzročilo ekstrakcijo datoteke .exe iz vdelanega predmeta v začasna mapa sistema in ga nato zaženite. To je le primer, kako deluje ta zlonamerna programska oprema.
Zlonamerna programska oprema je zapisana v MS Visual Basic
The zlonamerne programske opreme je napisan v jeziku MS Visual Basic, analiziral pa ga je Xiaopeng Zhang, ki je podrobno analizo objavil na svojem blogu 5. aprila.
Izvršljiva datoteka, ki jo je našel, se je imenovala POM.exe in je nekakšen program za namestitev. Ko se je to zagnalo, je v podmapo% temp% spustil dve datoteki z imenom filename.exe in filename.vbs. Da se samodejno zažene ob zagonu, se datoteka doda v sistemski register kot zagonski program in zažene% temp% filename.exe.
Zlonamerna programska oprema ustvari začasno prekinjen proces
Ko se filename.exe zažene, bo to privedlo do ustvarjenega suspendiranega podrejenega procesa z istim, da se zaščiti.
Po tem bo iz lastnega vira izvlekel novo datoteko PE, da bo prepisal spomin otroškega procesa. Nato pride do nadaljevanja izvršitve otroškega procesa.
- POVEZANE: 7 najboljših orodij za zaščito pred škodljivo programsko opremo za Windows 10 za blokiranje groženj v letu 2018
Zlonamerna programska oprema izpusti demon program
Zlonamerna programska oprema spušča tudi program Daemon iz vira programa .Net, imenovanega Player, v mapo% temp% in ga zažene, da zaščiti filename.exe. Ime programa demona je sestavljeno iz treh naključnih črk, njegov namen pa je jasen in preprost.
Primarna funkcija prejme argument ukazne vrstice in ga shrani v spremenljivko niza, ki se imenuje filePath. Po tem bo ustvaril funkcijo niti, s katero preveri, ali se filename.exe izvaja vsakih 900 milisekund. Če je filename.exe ubit, se bo znova zagnal.
Zhang je dejal, da je FortiGuard AntiVirus odkril škodljivo programsko opremo in jo odpravil. Priporočamo, da nadaljujete Podrobne opombe Zhanga če želite izvedeti več o vohunski programski opremi in kako deluje.
POVEZANE ZGODBE ZA OGLAŠEVANJE:
- Kaj je »Windows je zaznal okužbo z vohunsko programsko opremo!« In kako ga odstraniti?
- Ne morete posodobiti zaščite pred vohunsko programsko opremo v računalniku?
- Odprite datoteke WMV v sistemu Windows 10 s pomočjo teh 5 programskih rešitev
