สปายแวร์ของ Agent Tesla แพร่กระจายผ่านเอกสาร Microsoft Word

มัลแวร์ของ Agent Tesla แพร่กระจายผ่าน Microsoft Word เอกสารปีที่แล้วและตอนนี้มันกลับมาหลอกหลอนเรา สปายแวร์รุ่นล่าสุดขอให้ผู้ที่ตกเป็นเหยื่อดับเบิลคลิกที่ไอคอนสีน้ำเงินเพื่อให้มองเห็นในเอกสาร Word ได้ชัดเจนยิ่งขึ้น

หากผู้ใช้ประมาทพอจะคลิกเข้าไป จะส่งผลให้มีการแยกไฟล์ .exe จากวัตถุฝังตัวไปยัง โฟลเดอร์ชั่วคราวของระบบ แล้วเรียกใช้ นี่เป็นเพียงตัวอย่างว่ามัลแวร์ทำงานอย่างไร

มัลแวร์เขียนใน MS Visual Basic

มัลแวร์ เขียนด้วยภาษา MS Visual Basic และได้รับการวิเคราะห์โดย Xiaopeng Zhang ผู้โพสต์การวิเคราะห์โดยละเอียดในบล็อกของเขาเมื่อวันที่ 5 เมษายน

ไฟล์เรียกทำงานที่เขาพบเรียกว่า POM.exe และเป็นโปรแกรมติดตั้งประเภทหนึ่ง เมื่อดำเนินการนี้ มันทิ้งไฟล์สองไฟล์ชื่อ filename.exe และ filename.vbs ลงในโฟลเดอร์ย่อย %temp% เพื่อให้ทำงานโดยอัตโนมัติเมื่อเริ่มต้น ไฟล์จะเพิ่มตัวเองลงในรีจิสทรีของระบบเป็นโปรแกรมเริ่มต้น และเรียกใช้ %temp%filename.exe

มัลแวร์สร้างกระบวนการลูกที่ถูกระงับ

เมื่อ filename.exe เริ่มทำงาน สิ่งนี้จะนำไปสู่การสร้างโปรเซสลูกที่ถูกระงับเช่นเดียวกับที่เพื่อป้องกันตัวเอง

หลังจากนี้ มันจะแยกไฟล์ PE ใหม่ออกจากทรัพยากรของตัวเองเพื่อเขียนทับหน่วยความจำของกระบวนการลูก จากนั้น การกลับมาดำเนินการของกระบวนการย่อยก็มาถึง

instagram story viewer

ที่เกี่ยวข้อง: 7 เครื่องมือป้องกันมัลแวร์ที่ดีที่สุดสำหรับ Windows 10 เพื่อป้องกันภัยคุกคามในปี 2018

มัลแวร์ดรอปโปรแกรม daemon

มัลแวร์ยังทิ้งโปรแกรม Daemon จากทรัพยากรของโปรแกรม .Net ชื่อ Player ลงในโฟลเดอร์ %temp% และรันโปรแกรมเพื่อปกป้อง filename.exe ชื่อโปรแกรมของ daemon ประกอบด้วยตัวอักษรสุ่มสามตัว และจุดประสงค์ก็ชัดเจนและเรียบง่าย

ฟังก์ชันหลักได้รับอาร์กิวเมนต์บรรทัดคำสั่ง และบันทึกลงในตัวแปรสตริงที่เรียกว่า filePath หลังจากนี้จะสร้างฟังก์ชันเธรดเพื่อตรวจสอบว่า filename.exe ทำงานทุกๆ 900 มิลลิวินาทีหรือไม่ ถ้า filename.exe ถูกฆ่า มันจะทำงานอีกครั้ง

Zhang กล่าวว่า FortiGuard AntiVirus ตรวจพบมัลแวร์และกำจัดมัน เราขอแนะนำให้คุณผ่าน บันทึกโดยละเอียดของ Zhang เพื่อหาข้อมูลเพิ่มเติมเกี่ยวกับสปายแวร์และวิธีการทำงาน

เรื่องราวที่เกี่ยวข้องเพื่อตรวจสอบ:

'Windows ตรวจพบการติดสปายแวร์!' คืออะไร และจะลบออกอย่างไร
ไม่สามารถอัปเดตการป้องกันสปายแวร์บนคอมพิวเตอร์ของคุณ?
เปิดไฟล์ WMV ใน Windows 10 โดยใช้ซอฟต์แวร์ 5 ตัวนี้

สปายแวร์ของ Agent Tesla แพร่กระจายผ่านเอกสาร Microsoft Word

มัลแวร์เขียนใน MS Visual Basic

มัลแวร์สร้างกระบวนการลูกที่ถูกระงับ

มัลแวร์ดรอปโปรแกรม daemon

บั๊กของ Chrome ช่วยให้แฮกเกอร์รวบรวมข้อมูลผู้ใช้ผ่านไฟล์ PDF ได้ไฟล์ Pdf ความปลอดภัยทางไซเบอร์

ปธน.โอบามา เลือกพนักงาน Microsoft เข้าทีม Cyber Security!!ความปลอดภัยทางไซเบอร์

การอัปเดต Notepad ใหม่แก้ไขช่องโหว่ความเป็นส่วนตัวของ Vault 7 แผ่นจดบันทึก ความปลอดภัยทางไซเบอร์

สปายแวร์ของ Agent Tesla แพร่กระจายผ่านเอกสาร Microsoft Word

มัลแวร์เขียนใน MS Visual Basic

มัลแวร์สร้างกระบวนการลูกที่ถูกระงับ

มัลแวร์ดรอปโปรแกรม daemon

บั๊กของ Chrome ช่วยให้แฮกเกอร์รวบรวมข้อมูลผู้ใช้ผ่านไฟล์ PDF ได้ไฟล์ Pdfความปลอดภัยทางไซเบอร์

ปธน.โอบามา เลือกพนักงาน Microsoft เข้าทีม Cyber ​​Security!!ความปลอดภัยทางไซเบอร์

การอัปเดต Notepad ใหม่แก้ไขช่องโหว่ความเป็นส่วนตัวของ Vault 7แผ่นจดบันทึกความปลอดภัยทางไซเบอร์

บั๊กของ Chrome ช่วยให้แฮกเกอร์รวบรวมข้อมูลผู้ใช้ผ่านไฟล์ PDF ได้ไฟล์ Pdf ความปลอดภัยทางไซเบอร์

ปธน.โอบามา เลือกพนักงาน Microsoft เข้าทีม Cyber Security!!ความปลอดภัยทางไซเบอร์

การอัปเดต Notepad ใหม่แก้ไขช่องโหว่ความเป็นส่วนตัวของ Vault 7 แผ่นจดบันทึก ความปลอดภัยทางไซเบอร์