Agent Tesla spionprogram sprids via Microsoft Word-dokument

Agent Tesla spionprogram Microsoft Word

Agent Tesla malware sprids via Microsoft Word dokument förra året, och nu kom det tillbaka att hemsöka oss. Den senaste versionen av spionprogrammet ber offren att dubbelklicka på en blå ikon för att möjliggöra en tydligare vy i ett Word-dokument.

Om användaren är slarvig nog att klicka på den, kommer detta att resultera i att en .exe-fil extraheras från det inbäddade objektet till systemets tillfälliga mapp och kör sedan den. Detta är bara ett exempel på hur den här skadliga programvaran fungerar.

Skadlig kod är skriven i MS Visual Basic

De skadlig kod är skrivet på MS Visual Basic-språket, och det analyserades av Xiaopeng Zhang som publicerade den detaljerade analysen på sin blogg den 5 april.

Den körbara filen som han hittade hette POM.exe, och det är ett slags installationsprogram. När detta kördes släppte det två filer med namnet filename.exe och filename.vbs i undermappen% temp%. För att få det att köras automatiskt vid start lägger filen till sig i systemregistret som ett startprogram, och det körs% temp% filename.exe.

Skadlig kod skapar en avstängd barnprocess

När filename.exe startar kommer detta att leda till skapandet av en avstängd barnprocess med samma som för att skydda sig själv.

Efter detta extraherar den en ny PE-fil från sin egen resurs för att skriva över barnprocessens minne. Sedan kommer återupptagandet av barnprocessens genomförande.

  • RELATERAD: 7 bästa antimalware-verktyg för Windows 10 för att blockera hot under 2018

Skadlig programvara tappar ett demonprogram

Skadlig programvara släpper också ett Daemon-program från .Net-programmets resurs som heter Player till mappen% temp% och kör upp det för att skydda filename.exe. Daemons programnamn består av tre slumpmässiga bokstäver, och dess syfte är klart och enkelt.

Den primära funktionen får ett kommandoradsargument och sparar det i en strängvariabel som heter filePath. Efter detta kommer den att skapa en trådfunktion via vilken den kontrollerar om filename.exe körs vart 900 millisekunder. Om filename.exe dödas körs den igen.

Zhang sa att FortiGuard AntiVirus upptäckte skadlig programvara och eliminerade den. Vi rekommenderar att du går igenom Zhangs detaljerade anteckningar för att ta reda på mer om spionprogram och hur det fungerar.

RELATERADE BERÄTTELSER FÖR ATT KONTROLLERA:

  • Vad är ”Windows har upptäckt spionprograminfektion!” Och hur tar man bort det?
  • Kan du inte uppdatera skydd mot spionprogram på din dator?
  • Öppna WMV-filer i Windows 10 med dessa 5 programvarulösningar
Statistik du bör veta om cyberattacker 2023

Statistik du bör veta om cyberattacker 2023Cybersäkerhet

Dyk ner i en del viktig cybersäkerhetsstatistikSjukvården och utbildningssektorerna var de mest sårbara för cyberattacker under de senaste åren.Vi kommer att se en exponentiell ökning av antalet cy...

Läs mer
Hur man aktiverar eller inaktiverar manipuleringsskydd i Windows 10

Hur man aktiverar eller inaktiverar manipuleringsskydd i Windows 10Windows 10 GuiderProblem Med Windows FörsvarareCybersäkerhet

Lär dig att hantera den här funktionen på din enhetTamper Protection är en säkerhetsfunktion som håller din Windows 10-enhet skyddad.Du kan aktivera eller inaktivera det manuellt med olika metoder....

Läs mer
Är Microsoft rätt part att prata om lintyfonen?

Är Microsoft rätt part att prata om lintyfonen?MicrosoftCybersäkerhet

Microsoft har en lång väg att gå när det kommer till säkerhet,År 2022 hackades över 80 % av Microsoft 365-konton.Tidigare i somras kritiserade Tenable hårt Microsoft för att inte ta itu med sårbarh...

Läs mer