สปายแวร์ของ Agent Tesla แพร่กระจายผ่านเอกสาร Microsoft Word

ตัวแทนเทสลาสปายแวร์ microsoft word

มัลแวร์ของ Agent Tesla แพร่กระจายผ่าน Microsoft Word เอกสารปีที่แล้วและตอนนี้มันกลับมาหลอกหลอนเรา สปายแวร์รุ่นล่าสุดขอให้ผู้ที่ตกเป็นเหยื่อดับเบิลคลิกที่ไอคอนสีน้ำเงินเพื่อให้มองเห็นในเอกสาร Word ได้ชัดเจนยิ่งขึ้น

หากผู้ใช้ประมาทพอจะคลิกเข้าไป จะส่งผลให้มีการแยกไฟล์ .exe จากวัตถุฝังตัวไปยัง โฟลเดอร์ชั่วคราวของระบบ แล้วเรียกใช้ นี่เป็นเพียงตัวอย่างว่ามัลแวร์ทำงานอย่างไร

มัลแวร์เขียนใน MS Visual Basic

มัลแวร์ เขียนด้วยภาษา MS Visual Basic และได้รับการวิเคราะห์โดย Xiaopeng Zhang ผู้โพสต์การวิเคราะห์โดยละเอียดในบล็อกของเขาเมื่อวันที่ 5 เมษายน

ไฟล์เรียกทำงานที่เขาพบเรียกว่า POM.exe และเป็นโปรแกรมติดตั้งประเภทหนึ่ง เมื่อดำเนินการนี้ มันทิ้งไฟล์สองไฟล์ชื่อ filename.exe และ filename.vbs ลงในโฟลเดอร์ย่อย %temp% เพื่อให้ทำงานโดยอัตโนมัติเมื่อเริ่มต้น ไฟล์จะเพิ่มตัวเองลงในรีจิสทรีของระบบเป็นโปรแกรมเริ่มต้น และเรียกใช้ %temp%filename.exe

มัลแวร์สร้างกระบวนการลูกที่ถูกระงับ

เมื่อ filename.exe เริ่มทำงาน สิ่งนี้จะนำไปสู่การสร้างโปรเซสลูกที่ถูกระงับเช่นเดียวกับที่เพื่อป้องกันตัวเอง

หลังจากนี้ มันจะแยกไฟล์ PE ใหม่ออกจากทรัพยากรของตัวเองเพื่อเขียนทับหน่วยความจำของกระบวนการลูก จากนั้น การกลับมาดำเนินการของกระบวนการย่อยก็มาถึง

  • ที่เกี่ยวข้อง: 7 เครื่องมือป้องกันมัลแวร์ที่ดีที่สุดสำหรับ Windows 10 เพื่อป้องกันภัยคุกคามในปี 2018

มัลแวร์ดรอปโปรแกรม daemon

มัลแวร์ยังทิ้งโปรแกรม Daemon จากทรัพยากรของโปรแกรม .Net ชื่อ Player ลงในโฟลเดอร์ %temp% และรันโปรแกรมเพื่อปกป้อง filename.exe ชื่อโปรแกรมของ daemon ประกอบด้วยตัวอักษรสุ่มสามตัว และจุดประสงค์ก็ชัดเจนและเรียบง่าย

ฟังก์ชันหลักได้รับอาร์กิวเมนต์บรรทัดคำสั่ง และบันทึกลงในตัวแปรสตริงที่เรียกว่า filePath หลังจากนี้จะสร้างฟังก์ชันเธรดเพื่อตรวจสอบว่า filename.exe ทำงานทุกๆ 900 มิลลิวินาทีหรือไม่ ถ้า filename.exe ถูกฆ่า มันจะทำงานอีกครั้ง

Zhang กล่าวว่า FortiGuard AntiVirus ตรวจพบมัลแวร์และกำจัดมัน เราขอแนะนำให้คุณผ่าน บันทึกโดยละเอียดของ Zhang เพื่อหาข้อมูลเพิ่มเติมเกี่ยวกับสปายแวร์และวิธีการทำงาน

เรื่องราวที่เกี่ยวข้องเพื่อตรวจสอบ:

  • 'Windows ตรวจพบการติดสปายแวร์!' คืออะไร และจะลบออกอย่างไร
  • ไม่สามารถอัปเดตการป้องกันสปายแวร์บนคอมพิวเตอร์ของคุณ?
  • เปิดไฟล์ WMV ใน Windows 10 โดยใช้ซอฟต์แวร์ 5 ตัวนี้
การแก้ไข: ระวังไฟล์จากอินเทอร์เน็ตอาจมีไวรัส

การแก้ไข: ระวังไฟล์จากอินเทอร์เน็ตอาจมีไวรัสความปลอดภัยทางไซเบอร์Excel

ระวัง ไฟล์จากอินเทอร์เน็ตอาจมีไวรัส เป็นข้อความที่มาจากมุมมองที่ได้รับการป้องกันข้อผิดพลาดนี้เกิดขึ้นเมื่อคุณพยายามเปิดไฟล์ Excel ที่คุณดาวน์โหลดจากเว็บไซต์หรืออีเมลในการแก้ไขปัญหานี้อย่างง่ายดาย ค...

อ่านเพิ่มเติม
3 ซอฟต์แวร์ป้องกันภาพหน้าจอที่ดีที่สุดสำหรับ Windows 10

3 ซอฟต์แวร์ป้องกันภาพหน้าจอที่ดีที่สุดสำหรับ Windows 10ความปลอดภัยทางไซเบอร์

เพื่อป้องกันไม่ให้แฮกเกอร์ขโมยรหัสผ่านของคุณ คุณต้องมีซอฟต์แวร์ป้องกันภาพหน้าจอที่ดีที่สุดสำหรับ Windows 10เรามอบเครื่องมือที่สามารถตรวจจับการล็อกคีย์ การจับภาพเว็บแคม และมัลแวร์สกรีนช็อตได้อย่างสม...

อ่านเพิ่มเติม
5+ แอนตี้ไวรัสความปลอดภัยเครือข่ายที่ดีที่สุดที่จะใช้สำหรับธุรกิจของคุณ

5+ แอนตี้ไวรัสความปลอดภัยเครือข่ายที่ดีที่สุดที่จะใช้สำหรับธุรกิจของคุณแอนติไวรัสความปลอดภัยทางไซเบอร์

เมื่อต้องการปกป้องธุรกิจของคุณจากภัยคุกคามทางไซเบอร์ คุณต้องมีโปรแกรมป้องกันไวรัสความปลอดภัยเครือข่ายที่ดีที่สุดด้วย ESET คุณสามารถมั่นใจได้ว่าคุณจะปลอดภัยจากอีเมลขยะและมัลแวร์เนื้อเรื่อง การควบคุม...

อ่านเพิ่มเติม