Зловредният софтуер на Agent Tesla се разпространи през документите на Microsoft Word миналата година и сега се върна да ни преследва. Най-новият вариант на шпионския софтуер моли жертвите два пъти да кликнат върху синя икона, за да се даде възможност за по-ясен изглед в документ на Word.

Ако потребителят е достатъчно небрежен да щракне върху него, това ще доведе до извличане на.exe файл от вградения обект във временната папка на системата и след това да го стартира. Това е само пример за това как работи този зловреден софтуер.

Зловредният софтуер е написан в MS Visual Basic

Зловредният софтуер е написан на езика на MS Visual Basic и е анализиран от Xiaopeng Zhang, който публикува подробния анализ в блога си на 5 април.

Откритият от него изпълним файл се казва POM.exe и е нещо като програма за инсталиране. Когато това стартира, той пусна два файла с име filename.exe и filename.vbs в подпапка% temp%. За да го накара да се стартира автоматично при стартиране, файлът се добавя към системния регистър като стартираща програма и изпълнява% temp% filename.exe.

Зловредният софтуер създава процес на спряно дете

Когато filename.exe стартира, това ще доведе до създаването на спрян дъщерен процес със същия, който да се защити.

След това той ще извлече нов PE файл от собствения си ресурс, за да презапише паметта на дъщерния процес. След това идва възобновяването на изпълнението на детския процес.