สปายแวร์ของ Agent Tesla แพร่กระจายผ่านเอกสาร Microsoft Word

ตัวแทนเทสลาสปายแวร์ microsoft word

มัลแวร์ของ Agent Tesla แพร่กระจายผ่าน Microsoft Word เอกสารปีที่แล้วและตอนนี้มันกลับมาหลอกหลอนเรา สปายแวร์รุ่นล่าสุดขอให้ผู้ที่ตกเป็นเหยื่อดับเบิลคลิกที่ไอคอนสีน้ำเงินเพื่อให้มองเห็นในเอกสาร Word ได้ชัดเจนยิ่งขึ้น

หากผู้ใช้ประมาทพอจะคลิกเข้าไป จะส่งผลให้มีการแยกไฟล์ .exe จากวัตถุฝังตัวไปยัง โฟลเดอร์ชั่วคราวของระบบ แล้วเรียกใช้ นี่เป็นเพียงตัวอย่างว่ามัลแวร์ทำงานอย่างไร

มัลแวร์เขียนใน MS Visual Basic

มัลแวร์ เขียนด้วยภาษา MS Visual Basic และได้รับการวิเคราะห์โดย Xiaopeng Zhang ผู้โพสต์การวิเคราะห์โดยละเอียดในบล็อกของเขาเมื่อวันที่ 5 เมษายน

ไฟล์เรียกทำงานที่เขาพบเรียกว่า POM.exe และเป็นโปรแกรมติดตั้งประเภทหนึ่ง เมื่อดำเนินการนี้ มันทิ้งไฟล์สองไฟล์ชื่อ filename.exe และ filename.vbs ลงในโฟลเดอร์ย่อย %temp% เพื่อให้ทำงานโดยอัตโนมัติเมื่อเริ่มต้น ไฟล์จะเพิ่มตัวเองลงในรีจิสทรีของระบบเป็นโปรแกรมเริ่มต้น และเรียกใช้ %temp%filename.exe

มัลแวร์สร้างกระบวนการลูกที่ถูกระงับ

เมื่อ filename.exe เริ่มทำงาน สิ่งนี้จะนำไปสู่การสร้างโปรเซสลูกที่ถูกระงับเช่นเดียวกับที่เพื่อป้องกันตัวเอง

หลังจากนี้ มันจะแยกไฟล์ PE ใหม่ออกจากทรัพยากรของตัวเองเพื่อเขียนทับหน่วยความจำของกระบวนการลูก จากนั้น การกลับมาดำเนินการของกระบวนการย่อยก็มาถึง

  • ที่เกี่ยวข้อง: 7 เครื่องมือป้องกันมัลแวร์ที่ดีที่สุดสำหรับ Windows 10 เพื่อป้องกันภัยคุกคามในปี 2018

มัลแวร์ดรอปโปรแกรม daemon

มัลแวร์ยังทิ้งโปรแกรม Daemon จากทรัพยากรของโปรแกรม .Net ชื่อ Player ลงในโฟลเดอร์ %temp% และรันโปรแกรมเพื่อปกป้อง filename.exe ชื่อโปรแกรมของ daemon ประกอบด้วยตัวอักษรสุ่มสามตัว และจุดประสงค์ก็ชัดเจนและเรียบง่าย

ฟังก์ชันหลักได้รับอาร์กิวเมนต์บรรทัดคำสั่ง และบันทึกลงในตัวแปรสตริงที่เรียกว่า filePath หลังจากนี้จะสร้างฟังก์ชันเธรดเพื่อตรวจสอบว่า filename.exe ทำงานทุกๆ 900 มิลลิวินาทีหรือไม่ ถ้า filename.exe ถูกฆ่า มันจะทำงานอีกครั้ง

Zhang กล่าวว่า FortiGuard AntiVirus ตรวจพบมัลแวร์และกำจัดมัน เราขอแนะนำให้คุณผ่าน บันทึกโดยละเอียดของ Zhang เพื่อหาข้อมูลเพิ่มเติมเกี่ยวกับสปายแวร์และวิธีการทำงาน

เรื่องราวที่เกี่ยวข้องเพื่อตรวจสอบ:

  • 'Windows ตรวจพบการติดสปายแวร์!' คืออะไร และจะลบออกอย่างไร
  • ไม่สามารถอัปเดตการป้องกันสปายแวร์บนคอมพิวเตอร์ของคุณ?
  • เปิดไฟล์ WMV ใน Windows 10 โดยใช้ซอฟต์แวร์ 5 ตัวนี้
วิธีใช้ Acronis Cyber ​​Protect เพื่อปรับปรุงความปลอดภัยและการสำรองข้อมูลของคุณ

วิธีใช้ Acronis Cyber ​​Protect เพื่อปรับปรุงความปลอดภัยและการสำรองข้อมูลของคุณซอฟต์แวร์สำรองข้อมูลความปลอดภัยทางไซเบอร์

Acronis Cyber ​​Protect ครอบคลุมทุกอย่างที่ซอฟต์แวร์ Acronis เป็นที่รู้จักสำหรับ: การป้องกันทางไซเบอร์และการสำรองข้อมูลวันนี้เราจะมาดูคุณสมบัติมากมายและวิธีที่พวกเขาสามารถปรับปรุงประสบการณ์พีซีของค...

อ่านเพิ่มเติม
5 อุปกรณ์ไฟร์วอลล์ที่ดีที่สุดในการปกป้องเครือข่ายในบ้านของคุณ

5 อุปกรณ์ไฟร์วอลล์ที่ดีที่สุดในการปกป้องเครือข่ายในบ้านของคุณความปลอดภัยทางไซเบอร์ไฟร์วอลล์แก้ไขปัญหาเครือข่าย

แม้ว่าอินเทอร์เน็ตจะมีข้อมูลมากมายเกี่ยวกับหัวข้อนี้ แต่ผู้ใช้จำนวนมากกังวลเรื่องความปลอดภัยทางออนไลน์ความกังวลเหล่านี้ไม่มีมูลเมื่อพิจารณาข่าวล่าสุดเกี่ยวกับ บุคคลที่สามรวบรวมและใช้ข้อมูล จากผู้ใช...

อ่านเพิ่มเติม
5 เครื่องมือสแกนเว็บไซต์ที่ดีที่สุดในการตรวจจับมัลแวร์ก่อนที่จะโจมตี

5 เครื่องมือสแกนเว็บไซต์ที่ดีที่สุดในการตรวจจับมัลแวร์ก่อนที่จะโจมตีความปลอดภัยทางไซเบอร์ซอฟต์แวร์ Windows

ความเชี่ยวชาญด้านซอฟต์แวร์และฮาร์ดแวร์ที่ช่วยประหยัดเวลาซึ่งช่วยผู้ใช้ 200 ล้านคนต่อปี ให้คำแนะนำวิธีการ ข่าวสาร และเคล็ดลับในการยกระดับชีวิตเทคโนโลยีของคุณนี่คือเครื่องสแกนช่องโหว่ของเว็บไซต์ออนไล...

อ่านเพิ่มเติม