สปายแวร์ของ Agent Tesla แพร่กระจายผ่านเอกสาร Microsoft Word

มัลแวร์ของ Agent Tesla แพร่กระจายผ่าน Microsoft Word เอกสารปีที่แล้วและตอนนี้มันกลับมาหลอกหลอนเรา สปายแวร์รุ่นล่าสุดขอให้ผู้ที่ตกเป็นเหยื่อดับเบิลคลิกที่ไอคอนสีน้ำเงินเพื่อให้มองเห็นในเอกสาร Word ได้ชัดเจนยิ่งขึ้น

หากผู้ใช้ประมาทพอจะคลิกเข้าไป จะส่งผลให้มีการแยกไฟล์ .exe จากวัตถุฝังตัวไปยัง โฟลเดอร์ชั่วคราวของระบบ แล้วเรียกใช้ นี่เป็นเพียงตัวอย่างว่ามัลแวร์ทำงานอย่างไร

มัลแวร์เขียนใน MS Visual Basic

มัลแวร์ เขียนด้วยภาษา MS Visual Basic และได้รับการวิเคราะห์โดย Xiaopeng Zhang ผู้โพสต์การวิเคราะห์โดยละเอียดในบล็อกของเขาเมื่อวันที่ 5 เมษายน

ไฟล์เรียกทำงานที่เขาพบเรียกว่า POM.exe และเป็นโปรแกรมติดตั้งประเภทหนึ่ง เมื่อดำเนินการนี้ มันทิ้งไฟล์สองไฟล์ชื่อ filename.exe และ filename.vbs ลงในโฟลเดอร์ย่อย %temp% เพื่อให้ทำงานโดยอัตโนมัติเมื่อเริ่มต้น ไฟล์จะเพิ่มตัวเองลงในรีจิสทรีของระบบเป็นโปรแกรมเริ่มต้น และเรียกใช้ %temp%filename.exe

มัลแวร์สร้างกระบวนการลูกที่ถูกระงับ

เมื่อ filename.exe เริ่มทำงาน สิ่งนี้จะนำไปสู่การสร้างโปรเซสลูกที่ถูกระงับเช่นเดียวกับที่เพื่อป้องกันตัวเอง

หลังจากนี้ มันจะแยกไฟล์ PE ใหม่ออกจากทรัพยากรของตัวเองเพื่อเขียนทับหน่วยความจำของกระบวนการลูก จากนั้น การกลับมาดำเนินการของกระบวนการย่อยก็มาถึง

instagram story viewer

ที่เกี่ยวข้อง: 7 เครื่องมือป้องกันมัลแวร์ที่ดีที่สุดสำหรับ Windows 10 เพื่อป้องกันภัยคุกคามในปี 2018

มัลแวร์ดรอปโปรแกรม daemon

มัลแวร์ยังทิ้งโปรแกรม Daemon จากทรัพยากรของโปรแกรม .Net ชื่อ Player ลงในโฟลเดอร์ %temp% และรันโปรแกรมเพื่อปกป้อง filename.exe ชื่อโปรแกรมของ daemon ประกอบด้วยตัวอักษรสุ่มสามตัว และจุดประสงค์ก็ชัดเจนและเรียบง่าย

ฟังก์ชันหลักได้รับอาร์กิวเมนต์บรรทัดคำสั่ง และบันทึกลงในตัวแปรสตริงที่เรียกว่า filePath หลังจากนี้จะสร้างฟังก์ชันเธรดเพื่อตรวจสอบว่า filename.exe ทำงานทุกๆ 900 มิลลิวินาทีหรือไม่ ถ้า filename.exe ถูกฆ่า มันจะทำงานอีกครั้ง

Zhang กล่าวว่า FortiGuard AntiVirus ตรวจพบมัลแวร์และกำจัดมัน เราขอแนะนำให้คุณผ่าน บันทึกโดยละเอียดของ Zhang เพื่อหาข้อมูลเพิ่มเติมเกี่ยวกับสปายแวร์และวิธีการทำงาน

เรื่องราวที่เกี่ยวข้องเพื่อตรวจสอบ:

'Windows ตรวจพบการติดสปายแวร์!' คืออะไร และจะลบออกอย่างไร
ไม่สามารถอัปเดตการป้องกันสปายแวร์บนคอมพิวเตอร์ของคุณ?
เปิดไฟล์ WMV ใน Windows 10 โดยใช้ซอฟต์แวร์ 5 ตัวนี้

สปายแวร์ของ Agent Tesla แพร่กระจายผ่านเอกสาร Microsoft Word

มัลแวร์เขียนใน MS Visual Basic

มัลแวร์สร้างกระบวนการลูกที่ถูกระงับ

มัลแวร์ดรอปโปรแกรม daemon

วิธีเปิดหรือปิดการป้องกันการงัดแงะใน Windows 10 คู่มือ Windows 10 ปัญหา Windows Defender ความปลอดภัยทางไซเบอร์

Microsoft เป็นฝ่ายที่เหมาะสมที่จะพูดคุยเกี่ยวกับ Flax Typhoon หรือไม่?Microsoft ความปลอดภัยทางไซเบอร์

URL ที่ละทิ้งอาจทำให้ Microsoft Entra ID ลุกเป็นไฟได้Microsoft ความปลอดภัยทางไซเบอร์

สปายแวร์ของ Agent Tesla แพร่กระจายผ่านเอกสาร Microsoft Word

มัลแวร์เขียนใน MS Visual Basic

มัลแวร์สร้างกระบวนการลูกที่ถูกระงับ

มัลแวร์ดรอปโปรแกรม daemon

วิธีเปิดหรือปิดการป้องกันการงัดแงะใน Windows 10คู่มือ Windows 10ปัญหา Windows Defenderความปลอดภัยทางไซเบอร์

Microsoft เป็นฝ่ายที่เหมาะสมที่จะพูดคุยเกี่ยวกับ Flax Typhoon หรือไม่?Microsoftความปลอดภัยทางไซเบอร์

URL ที่ละทิ้งอาจทำให้ Microsoft Entra ID ลุกเป็นไฟได้Microsoftความปลอดภัยทางไซเบอร์

วิธีเปิดหรือปิดการป้องกันการงัดแงะใน Windows 10 คู่มือ Windows 10 ปัญหา Windows Defender ความปลอดภัยทางไซเบอร์

Microsoft เป็นฝ่ายที่เหมาะสมที่จะพูดคุยเกี่ยวกับ Flax Typhoon หรือไม่?Microsoft ความปลอดภัยทางไซเบอร์

URL ที่ละทิ้งอาจทำให้ Microsoft Entra ID ลุกเป็นไฟได้Microsoft ความปลอดภัยทางไซเบอร์