Agentti Teslan haittaohjelma levisi Microsoft Word -dokumenttien kautta viime vuonna, ja nyt se tuli takaisin kummittelemaan meitä. Vakoiluohjelmien uusin versio pyytää uhreja kaksoisnapsauttamaan sinistä kuvaketta, jotta Word-asiakirja saadaan selkeämmäksi.

Jos käyttäjä on tarpeettoman huolimaton napsauttamaan sitä, tämä johtaa.exe-tiedoston purkamiseen sulautetusta objektista järjestelmän väliaikaiseen kansioon ja suorittaa sen sitten. Tämä on vain esimerkki tämän haittaohjelman toiminnasta.

Haittaohjelma on kirjoitettu MS Visual Basic -sovellukseen

Haittaohjelma on kirjoitettu MS Visual Basic -kielellä, ja Xiaopeng Zhang analysoi sen, ja julkaisi yksityiskohtaisen analyysin blogiinsa 5. huhtikuuta.

Hänen löytämän suoritetun tiedoston nimi oli POM.exe, ja se on eräänlainen asennusohjelma. Kun tämä suoritettiin, se pudotti kaksi tiedostoa nimeltä filename.exe ja filename.vbs% temp% alikansioon. Jotta se toimisi automaattisesti käynnistyksen yhteydessä, tiedosto lisää itsensä järjestelmärekisteriin käynnistysohjelmana, ja se suorittaa% temp% filename.exe.

Haittaohjelma luo jäädytetyn lapsiprosessin

Kun tiedostonimi.exe käynnistyy, tämä johtaa keskeytetyn lapsiprosessin luomiseen samalla prosessilla itsensä suojaamiseksi.

Tämän jälkeen se purkaa uuden PE-tiedoston omasta resurssistaan ​​korvata lapsiprosessin muisti. Sitten lapsprosessin suorittamisen jatkaminen tulee.