Agent Tesla malware sprids via Microsoft Word dokument förra året, och nu kom det tillbaka att hemsöka oss. Den senaste versionen av spionprogrammet ber offren att dubbelklicka på en blå ikon för att möjliggöra en tydligare vy i ett Word-dokument.
Om användaren är slarvig nog att klicka på den, kommer detta att resultera i att en .exe-fil extraheras från det inbäddade objektet till systemets tillfälliga mapp och kör sedan den. Detta är bara ett exempel på hur den här skadliga programvaran fungerar.
Skadlig kod är skriven i MS Visual Basic
De skadlig kod är skrivet på MS Visual Basic-språket, och det analyserades av Xiaopeng Zhang som publicerade den detaljerade analysen på sin blogg den 5 april.
Den körbara filen som han hittade hette POM.exe, och det är ett slags installationsprogram. När detta kördes släppte det två filer med namnet filename.exe och filename.vbs i undermappen% temp%. För att få det att köras automatiskt vid start lägger filen till sig i systemregistret som ett startprogram, och det körs% temp% filename.exe.
Skadlig kod skapar en avstängd barnprocess
När filename.exe startar kommer detta att leda till skapandet av en avstängd barnprocess med samma som för att skydda sig själv.
Efter detta extraherar den en ny PE-fil från sin egen resurs för att skriva över barnprocessens minne. Sedan kommer återupptagandet av barnprocessens genomförande.
- RELATERAD: 7 bästa antimalware-verktyg för Windows 10 för att blockera hot under 2018
Skadlig programvara tappar ett demonprogram
Skadlig programvara släpper också ett Daemon-program från .Net-programmets resurs som heter Player till mappen% temp% och kör upp det för att skydda filename.exe. Daemons programnamn består av tre slumpmässiga bokstäver, och dess syfte är klart och enkelt.
Den primära funktionen får ett kommandoradsargument och sparar det i en strängvariabel som heter filePath. Efter detta kommer den att skapa en trådfunktion via vilken den kontrollerar om filename.exe körs vart 900 millisekunder. Om filename.exe dödas körs den igen.
Zhang sa att FortiGuard AntiVirus upptäckte skadlig programvara och eliminerade den. Vi rekommenderar att du går igenom Zhangs detaljerade anteckningar för att ta reda på mer om spionprogram och hur det fungerar.
RELATERADE BERÄTTELSER FÖR ATT KONTROLLERA:
- Vad är ”Windows har upptäckt spionprograminfektion!” Och hur tar man bort det?
- Kan du inte uppdatera skydd mot spionprogram på din dator?
- Öppna WMV-filer i Windows 10 med dessa 5 programvarulösningar
