Malvér Agent Tesla sa minulý rok rozšíril prostredníctvom dokumentov programu Microsoft Word a teraz sa vrátil a prenasledoval nás. Najnovší variant spywaru žiada obete, aby dvakrát klikli na modrú ikonu, aby umožnili jasnejšie zobrazenie v dokumente programu Word.

Ak je používateľ dostatočne neopatrný, aby naň mohol kliknúť, bude to mať za následok extrakciu súboru.exe z vloženého objektu do dočasného priečinka systému a potom ho spustí. Toto je iba príklad toho, ako tento malware funguje.

Malvér je napísaný v jazyku MS Visual Basic

Malvér je napísaný v jazyku MS Visual Basic a analyzoval ho Xiaopeng Zhang, ktorý zverejnil podrobnú analýzu na svojom blogu 5. apríla.

Spustiteľný súbor, ktorý našiel, sa nazýval POM.exe a je to akýsi inštalačný program. Keď to spustilo, zahodilo dva súbory s názvom filename.exe a filename.vbs do podpriečinka% temp%. Aby sa súbor spustil automaticky pri štarte, pridá sa do systémového registra ako spúšťací program a spustí% temp% filename.exe.

Malvér vytvára pozastavený podriadený proces

Keď sa spustí súbor filename.exe, bude to viesť k vytvoreniu pozastaveného podriadeného procesu, ktorý sa bude chrániť sám.

Potom extrahuje nový súbor PE zo svojho vlastného zdroja na prepísanie pamäte podriadeného procesu. Potom nastane obnovenie procesu detského procesu.