Ang Agent Tesla malware ay kumalat sa pamamagitan ng mga dokumento ng Microsoft Word noong nakaraang taon, at ngayon ito ay bumalik upang mai-amin sa amin. Ang pinakabagong variant ng spyware ay humihiling sa mga biktima na i-double-click sa isang asul na icon upang paganahin ang isang mas malinaw na pagtingin sa isang dokumento ng Salita.

Kung ang gumagamit ay sapat na bulalas upang mag-click dito, magreresulta ito sa pagkuha ng isang file na.exe mula sa naka-embed na bagay sa pansamantalang folder ng system at pagkatapos ay patakbuhin ito. Ito ay isang halimbawa lamang kung paano gumagana ang malware na ito.

Ang malware ay nakasulat sa MS Visual Basic

Ang malware ay nakasulat sa wikang MS Visual Basic, at sinuri ito ni Xiaopeng Zhang na nagpo-post ng detalyadong pagsusuri sa kanyang blog noong ika-5 ng Abril.

Ang maipapatupad na file na natagpuan sa kanya ay tinawag na POM.exe, at ito ay isang uri ng programa ng installer. Nang tumakbo ito, bumagsak ito ng dalawang file na nagngangalang filename.exe at filename.vbs sa% temp% subfolder. Upang gawin itong awtomatikong patakbuhin sa pagsisimula, ang file ay nagdaragdag mismo sa sistema ng pagpapatala bilang isang programa ng pagsisimula, at nagpapatakbo ito ng% temp% filename.exe.

Lumilikha ang malware ng isang sinuspinde na proseso ng bata

Kapag nagsimula ang filename.exe, hahantong ito sa paglikha ng isang nasuspinde na proseso ng bata na may parehong upang upang maprotektahan ang sarili.

Pagkatapos nito, kukuha ito ng isang bagong file ng PE mula sa sarili nitong mapagkukunan upang ma-overwrite ang memorya ng proseso ng bata. Pagkatapos, ang pagpapatuloy ng pagpapatupad ng proseso ng bata ay darating.