News  

Spyware Agen Tesla menyebar melalui dokumen Microsoft Word

Agen Tesla spyware microsoft word

Spyware Agen Tesla menyebar melalui dokumen Microsoft Word

Agen Tesla spyware microsoft word

Malware Agen Tesla menyebar melalui dokumen Microsoft Word tahun lalu, dan sekarang kembali menghantui kita. Varian terbaru dari spyware meminta korban untuk mengklik dua kali pada ikon biru untuk mengaktifkan tampilan yang lebih jelas dalam dokumen Word.

Jika pengguna cukup ceroboh untuk mengkliknya, ini akan mengakibatkan ekstraksi file .exe dari objek yang disematkan ke folder sementara sistem dan kemudian menjalankannya. Ini hanya contoh cara kerja malware ini.

Malware ditulis dalam MS Visual Basic

Malware ini ditulis dalam bahasa MS Visual Basic, dan dianalisis oleh Xiaopeng Zhang yang memposting analisis terperinci di blognya pada tanggal 5 April.

File yang dapat dieksekusi yang ditemukan olehnya disebut POM.exe, dan itu semacam program penginstal. Ketika ini dijalankan, ia menjatuhkan dua file bernama filename.exe dan filename.vbs ke dalam subfolder %temp%. Untuk membuatnya berjalan secara otomatis saat startup, file menambahkan dirinya sendiri ke registri sistem sebagai program startup, dan menjalankan %temp%filename.exe.

Malware membuat proses anak yang ditangguhkan

Ketika nama file.exe dimulai, ini akan mengarah pada pembuatan proses anak yang ditangguhkan dengan yang sama untuk melindungi dirinya sendiri.

Setelah ini, ia akan mengekstrak file PE baru dari sumbernya sendiri untuk menimpa memori proses anak. Kemudian, melanjutkan eksekusi proses anak datang.

  • TERKAIT: 7 alat antimalware terbaik untuk Windows 10 untuk memblokir ancaman di 2018

Malware menjatuhkan program daemon

Malware juga menjatuhkan program Daemon dari sumber daya program .Net yang disebut Player ke dalam folder %temp% dan menjalankannya untuk melindungi namafile.exe. Nama program daemon terdiri dari tiga huruf acak, dan tujuannya jelas dan sederhana.

Fungsi utama menerima argumen baris perintah, dan menyimpannya ke variabel string yang disebut filePath. Setelah ini, ia akan membuat fungsi utas yang melaluinya ia memeriksa untuk melihat apakah filename.exe berjalan setiap 900 milidetik. Jika nama file.exe terbunuh, itu akan berjalan lagi.

Zhang mengatakan bahwa FortiGuard AntiVirus mendeteksi malware dan menghilangkannya. Kami menyarankan Anda membaca catatan rinci Zhang untuk mengetahui lebih lanjut tentang spyware dan cara kerjanya.

CERITA TERKAIT UNTUK DIPERHATIKAN:

  • Apa itu ‘Windows telah mendeteksi infeksi spyware!’ dan bagaimana cara menghilangkannya?
  • Tidak dapat memperbarui perlindungan spyware di komputer Anda?
  • Buka file WMV di Windows 10 menggunakan 5 solusi perangkat lunak ini

Tinggalkan Balasan