Malvér agenta Tesla sa rozšíril prostredníctvom Microsoft Word dokumenty minulý rok, a teraz sa nás to strašilo. Posledná verzia spywaru žiada obete, aby dvakrát klikli na modrú ikonu, čím umožnia jasnejšie zobrazenie v dokumente Word.
Ak je používateľ nedbalý na to, aby na ňu klikol, bude to mať za následok extrakciu súboru .exe z vloženého objektu do dočasný priečinok systému a potom to spustiť. Toto je iba príklad toho, ako tento malware funguje.
Malvér je napísaný v jazyku MS Visual Basic
The malvér je napísaný v jazyku MS Visual Basic a analyzoval ju Xiaopeng Zhang, ktorý podrobnú analýzu zverejnil na svojom blogu 5. apríla.
Nájdený spustiteľný súbor sa nazýval POM.exe a je to akýsi inštalačný program. Keď to prebehlo, boli do podpriečinka% temp% vložené dva súbory s názvom filename.exe a filename.vbs. Aby sa súbor spustil automaticky pri štarte, súbor sa sám pridá do systémového registra ako program pri štarte a spustí súbor% temp% filename.exe.
Malvér vytvára pozastavený podradený proces
Keď sa spustí súbor filename.exe, povedie to k vytvoreniu pozastaveného podradeného procesu s rovnakým procesom, ktorý sa chráni.
Potom extrahuje nový súbor PE z vlastného zdroja, aby prepísal pamäť podradeného procesu. Potom nastáva obnovenie vykonávania podradeného procesu.
- SÚVISIACE: Sedem najlepších antimalwarových nástrojov pre Windows 10 na blokovanie hrozieb v roku 2018
Malvér odstráni program démonov
Malvér tiež odstráni program Daemon z prostriedku programu .Net nazývaného Player do priečinka% temp% a spustí ho na ochranu názvu súboru.exe. Názov programu démona je zložený z troch náhodných písmen a jeho účel je jasný a jednoduchý.
Primárna funkcia prijme argument príkazového riadku a uloží ho do premennej reťazca, ktorá sa nazýva filePath. Potom vytvorí funkciu vlákna, pomocou ktorej skontroluje, či súbor filename.exe beží každých 900 milisekúnd. Ak je názov súboru.exe zabitý, spustí sa znova.
Zhang uviedol, že FortiGuard AntiVirus detekoval malware a eliminoval ho. Odporúčame vám prejsť si Zhangove podrobné poznámky Ak sa chcete dozvedieť viac informácií o spyware a o tom, ako funguje.
SÚVISIACE PRÍBEHY KONTROLY:
- Čo je „Systém Windows zistil infekciu spyware!“ A ako ho odstrániť?
- Nemôžete vo svojom počítači aktualizovať ochranu pred spywarom?
- Pomocou týchto 5 softvérových riešení otvárajte súbory WMV v systéme Windows 10
