Vohunska programska oprema agenta Tesla se širi prek dokumentov Microsoft Word

Agent Tesla vohunska programska oprema microsoft word

Zlonamerna programska oprema agenta Tesla se je razširila prek Microsoft Word dokumenti lani, zdaj pa nas je spet preganjalo. Najnovejša različica vohunske programske opreme zahteva, da žrtve dvakrat kliknejo na modro ikono, da omogočijo jasnejši pogled v Wordovem dokumentu.

Če je uporabnik dovolj nepreviden, da ga klikne, bo to povzročilo ekstrakcijo datoteke .exe iz vdelanega predmeta v začasna mapa sistema in ga nato zaženite. To je le primer, kako deluje ta zlonamerna programska oprema.

Zlonamerna programska oprema je zapisana v MS Visual Basic

The zlonamerne programske opreme je napisan v jeziku MS Visual Basic, analiziral pa ga je Xiaopeng Zhang, ki je podrobno analizo objavil na svojem blogu 5. aprila.

Izvršljiva datoteka, ki jo je našel, se je imenovala POM.exe in je nekakšen program za namestitev. Ko se je to zagnalo, je v podmapo% temp% spustil dve datoteki z imenom filename.exe in filename.vbs. Da se samodejno zažene ob zagonu, se datoteka doda v sistemski register kot zagonski program in zažene% temp% filename.exe.

Zlonamerna programska oprema ustvari začasno prekinjen proces

Ko se filename.exe zažene, bo to privedlo do ustvarjenega suspendiranega podrejenega procesa z istim, da se zaščiti.

Po tem bo iz lastnega vira izvlekel novo datoteko PE, da bo prepisal spomin otroškega procesa. Nato pride do nadaljevanja izvršitve otroškega procesa.

  • POVEZANE: 7 najboljših orodij za zaščito pred škodljivo programsko opremo za Windows 10 za blokiranje groženj v letu 2018

Zlonamerna programska oprema izpusti demon program

Zlonamerna programska oprema spušča tudi program Daemon iz vira programa .Net, imenovanega Player, v mapo% temp% in ga zažene, da zaščiti filename.exe. Ime programa demona je sestavljeno iz treh naključnih črk, njegov namen pa je jasen in preprost.

Primarna funkcija prejme argument ukazne vrstice in ga shrani v spremenljivko niza, ki se imenuje filePath. Po tem bo ustvaril funkcijo niti, s katero preveri, ali se filename.exe izvaja vsakih 900 milisekund. Če je filename.exe ubit, se bo znova zagnal.

Zhang je dejal, da je FortiGuard AntiVirus odkril škodljivo programsko opremo in jo odpravil. Priporočamo, da nadaljujete Podrobne opombe Zhanga če želite izvedeti več o vohunski programski opremi in kako deluje.

POVEZANE ZGODBE ZA OGLAŠEVANJE:

  • Kaj je »Windows je zaznal okužbo z vohunsko programsko opremo!« In kako ga odstraniti?
  • Ne morete posodobiti zaščite pred vohunsko programsko opremo v računalniku?
  • Odprite datoteke WMV v sistemu Windows 10 s pomočjo teh 5 programskih rešitev
Google+, da ugrizne prah še prej po večji izgubi podatkov

Google+, da ugrizne prah še prej po večji izgubi podatkovNoviceZasebnostSpletna VarnostGoogle

Google se je zaradi izgube podatkov, ki je prizadela presenetljivih 52 milijonov uporabnikov, odločil zapreti Google+ še prej. Tudi po standardih nezainteresiranosti, ki jih kaže večina tehnoloških...

Preberi več
Z namestitvijo teh posodobitev odpravite najnovejšo Intelovo varnostno napako

Z namestitvijo teh posodobitev odpravite najnovejšo Intelovo varnostno napakoSpletna Varnost

Prejšnji teden je Intel objavil, da je zaradi hudih varnostnih pomanjkljivosti nekaterih čipov ostalo na tisoče naprav ranljiv za hekerje.Raziskovalci na področju varnosti so razkrili, da je težava...

Preberi več
Teh 8 nasvetov za varno spletno nakupovanje je tako preprostih, da lahko to storijo tudi vaši otroci

Teh 8 nasvetov za varno spletno nakupovanje je tako preprostih, da lahko to storijo tudi vaši otrociNakupovanjeSpletna Varnost

Če želite odpraviti različne težave z računalnikom, priporočamo DriverFix:Ta programska oprema bo zagotovila, da bodo vaši gonilniki delovali in vas tako varovala pred pogostimi napakami računalnik...

Preberi več