Зловмисне програмне забезпечення агента Tesla минулого року розповсюдилось через документи Microsoft Word, і тепер воно знову переслідувало нас. Останній варіант шпигунських програм просить жертв двічі клацнути на синій піктограмі, щоб увімкнути чіткіший вигляд у документі Word.

Якщо користувач недостатньо недбало натискає на нього, це призведе до вилучення.exe-файлу з вбудованого об'єкта у тимчасову папку системи та потім запустіть його. Це лише приклад того, як працює ця зловмисна програма.

Зловмисне програмне забезпечення написано в MS Visual Basic

Зловмисне програмне забезпечення написано мовою MS Visual Basic, і його проаналізував Xiaopeng Zhang, який 5 квітня опублікував детальний аналіз у своєму блозі.

Знайдений ним виконуваний файл називався POM.exe, і це свого роду програма встановлення. Коли це запустилося, він скинув два файли з ім'ям filename.exe та filename.vbs у підпапку% temp%. Щоб зробити його автоматично при запуску, файл додає себе до системного реєстру як програма запуску, і він запускає% temp% filename.exe.

Зловмисне програмне забезпечення створює призупинений дочірні процес

Коли filename.exe запускається, це призведе до створення призупиненого дочірнього процесу з тим самим, що і для захисту.

Після цього він витягне новий файл PE із власного ресурсу, щоб перезаписати пам'ять дочірнього процесу. Потім настає відновлення виконання дитячого процесу.