Малвер Агент Тесла се проширио путем Мицрософт Ворд документи прошле године, а сада се вратило да нас прогања. Најновија варијанта шпијунског софтвера тражи од жртава да двапут кликну на плаву икону како би омогућили јаснији приказ у Ворд документу.
Ако је корисник довољно неопрезан да кликне на њега, то ће резултирати екстракцијом .еке датотеке из уграђеног објекта у привремени директоријум система а затим га покрените. Ово је само пример како овај злонамерни софтвер функционише.
Злонамерни софтвер је написан у МС Висуал Басиц
Тхе злонамерних програма написан је на језику МС Висуал Басиц, а анализирао га је Ксиаопенг Зханг који је детаљну анализу објавио на свом блогу 5. априла.
Извршна датотека коју је пронашао звала се ПОМ.еке и то је нека врста програма за инсталацију. Када се ово покренуло, бацило је две датотеке под називом филенаме.еке и филенаме.вбс у подмапу% темп%. Да би се покренула аутоматски при покретању, датотека се додаје у системски регистар као програм за покретање и покреће% темп% филенаме.еке.
Злонамерни софтвер ствара суспендовани подређени процес
Када се филенаме.еке покрене, то ће довести до стварања суспендованог подређеног процеса са истим да би се заштитио.
Након тога, из сопственог ресурса ће издвојити нову ПЕ датотеку да би преписао меморију подређеног процеса. Тада долази до наставка извршења поступка детета.
- ПОВЕЗАН: 7 најбољих антималверских алата за Виндовс 10 за блокирање претњи у 2018. години
Злонамерни софтвер испушта демон програм
Злонамерни софтвер такође испушта Даемон програм из ресурса програма .Нет под називом Плаиер у директоријум% темп% и покреће га ради заштите имена датотеке.еке. Назив програма демона састоји се од три случајна слова, а његова сврха је јасна и једноставна.
Примарна функција прима аргумент наредбеног ретка и чува га у променљивој низа која се назива филеПатх. Након тога, створиће функцију нити помоћу које проверава да ли се филенаме.еке изводи на сваких 900 милисекунди. Ако је филенаме.еке убијен, покренут ће се поново.
Зханг је рекао да је ФортиГуард АнтиВирус открио малвер и елиминисао га. Препоручујемо да прођете кроз Зхангове детаљне белешке да бисте сазнали више о шпијунском софтверу и како он функционише.
ПОВЕЗАНЕ ПРИЧЕ ЗА ПРОВЈЕРУ:
- Шта је „Виндовс је открио заразу шпијунским софтвером!“ И како га уклонити?
- Не можете да ажурирате заштиту од шпијунског софтвера на рачунару?
- Отворите ВМВ датотеке у оперативном систему Виндовс 10 помоћу ових 5 софтверских решења
