Зловмисне програмне забезпечення агента Tesla поширилося через Microsoft Word документи минулого року, і тепер він повернувся, щоб переслідувати нас. Останній варіант шпигунського програмного забезпечення вимагає від потерпілих двічі клацнути на синій піктограму, щоб забезпечити чіткіший вигляд у документі Word.
Якщо користувач буде необережно натиснути на нього, це призведе до вилучення файлу .exe із вбудованого об'єкта в тимчасова папка системи а потім запустіть його. Це лише приклад того, як працює це шкідливе програмне забезпечення.
Зловмисне програмне забезпечення записано в MS Visual Basic
шкідливе програмне забезпечення написано мовою MS Visual Basic, і його проаналізував Сяопен Чжан, який опублікував детальний аналіз у своєму блозі 5 квітня.
Знайдений ним виконуваний файл називався POM.exe, і це свого роду програма для встановлення. Після запуску він скинув два файли з іменами filename.exe та filename.vbs до підтеки% temp%. Щоб він запускався автоматично під час запуску, файл додається до системного реєстру як програма запуску та запускає% temp% filename.exe.
Шкідливе програмне забезпечення створює призупинений дочірній процес
Коли файлname.exe запускається, це призведе до створення призупиненого дочірнього процесу з тим самим, що і для захисту.
Після цього він витягне новий PE-файл із власного ресурсу, щоб перезаписати пам’ять дочірнього процесу. Потім настає відновлення виконання дочірнього процесу.
- ПОВ'ЯЗАНІ: 7 найкращих засобів захисту від шкідливих програм для Windows 10 для блокування загроз у 2018 році
Шкідливе програмне забезпечення видаляє програму-демон
Шкідливе програмне забезпечення також викидає програму Daemon з ресурсу програми .Net під назвою Player у папку% temp% і запускає її для захисту filename.exe. Назва програми демона складається з трьох випадкових букв, і його мета чітка та проста.
Основна функція отримує аргумент командного рядка, і вона зберігає його у рядковій змінній, яка називається filePath. Після цього він створить функцію потоку, за допомогою якої перевіряє, чи працює filename.exe кожні 900 мілісекунд. Якщо файлname.exe вбито, він запуститься знову.
Чжан повідомив, що FortiGuard AntiVirus виявив шкідливе програмне забезпечення та усунув його. Ми рекомендуємо вам пройти Детальні примітки Чжана щоб дізнатись більше про шпигунське програмне забезпечення та як воно працює.
Пов’язані історії для перевірки:
- Що таке «Windows виявила зараження шпигунським ПЗ!» І як його видалити?
- Не можете оновити захист від шпигунських програм на своєму комп’ютері?
- Відкрийте файли WMV у Windows 10 за допомогою цих 5 програмних рішень
