Ajan Tesla kötü amaçlı yazılımı aracılığıyla yayıldı Microsoft Word geçen yıl belgeler ve şimdi bize musallat olmak için geri geldi. Casus yazılımın en son çeşidi, bir Word belgesinde daha net bir görünüm sağlamak için kurbanlardan mavi bir simgeye çift tıklamasını ister.
Kullanıcı üzerine tıklayacak kadar dikkatsizse, bu, bir .exe dosyasının gömülü nesneden nesneye çıkarılmasıyla sonuçlanacaktır. sistemin geçici klasörü ve sonra çalıştırın. Bu, bu kötü amaçlı yazılımın nasıl çalıştığına yalnızca bir örnektir.
Kötü amaçlı yazılım MS Visual Basic'te yazılmıştır
kötü amaçlı yazılım MS Visual Basic dilinde yazılmıştır ve ayrıntılı analizi 5 Nisan'da blogunda yayınlayan Xiaopeng Zhang tarafından analiz edilmiştir.
Bulduğu yürütülebilir dosyaya POM.exe adı verildi ve bu bir tür yükleyici programı. Bu çalıştırıldığında, filename.exe ve filename.vbs adlı iki dosyayı %temp% alt klasörüne bıraktı. Başlangıçta otomatik olarak çalışmasını sağlamak için, dosya kendisini bir başlangıç programı olarak sistem kayıt defterine ekler ve %temp%filename.exe'yi çalıştırır.
Kötü amaçlı yazılım, askıya alınmış bir alt süreç oluşturur
filename.exe başladığında, bu kendini korumak için askıya alınmış bir alt sürecin oluşturulmasına yol açacaktır.
Bundan sonra, alt işlemin belleğinin üzerine yazmak için kendi kaynağından yeni bir PE dosyası çıkaracaktır. Ardından, çocuk sürecin yürütülmesinin yeniden başlatılması gelir.
- İLİŞKİLİ: 2018'de tehditleri engellemek için Windows 10 için en iyi 7 kötü amaçlı yazılımdan koruma aracı
Kötü amaçlı yazılım bir arka plan programı programını düşürür
Kötü amaçlı yazılım ayrıca .Net programının Player adlı kaynağından %temp% klasörüne bir Daemon programını bırakır ve filename.exe'yi korumak için onu çalıştırır. Daemon'un program adı rastgele üç harften oluşur ve amacı açık ve basittir.
Birincil işlev bir komut satırı argümanı alır ve onu filePath adlı bir dize değişkenine kaydeder. Bundan sonra, filename.exe'nin her 900 milisaniyede bir çalışıp çalışmadığını kontrol ettiği bir iş parçacığı işlevi oluşturacaktır. filename.exe öldürülürse, tekrar çalışır.
Zhang, FortiGuard AntiVirus'un kötü amaçlı yazılımı tespit ettiğini ve ortadan kaldırdığını söyledi. geçmenizi tavsiye ederiz Zhang'ın ayrıntılı notları casus yazılım ve nasıl çalıştığı hakkında daha fazla bilgi edinmek için.
KONTROL ETMEK İÇİN İLGİLİ HİKAYELER:
- 'Windows casus yazılım bulaşması algıladı!' nedir ve nasıl kaldırılır?
- Bilgisayarınızda casus yazılım korumasını güncelleyemiyor musunuz?
- Bu 5 yazılım çözümünü kullanarak WMV dosyalarını Windows 10'da açın
