Złośliwe oprogramowanie agenta Tesli rozprzestrzeniło się w zeszłym roku za pośrednictwem dokumentów Microsoft Word, a teraz wróciło, by nas prześladować. Najnowszy wariant oprogramowania szpiegującego wymaga od ofiar dwukrotnego kliknięcia niebieskiej ikony, aby umożliwić wyraźniejszy widok dokumentu Word.

Jeśli użytkownik jest wystarczająco nieostrożny, aby go kliknąć, spowoduje to rozpakowanie pliku.exe z osadzonego obiektu w folderze tymczasowym systemu, a następnie uruchomienie go. To tylko przykład działania tego złośliwego oprogramowania.

Szkodliwe oprogramowanie jest napisane w MS Visual Basic

Szkodliwe oprogramowanie jest napisane w języku MS Visual Basic i zostało przeanalizowane przez Xiaopeng Zhanga, który opublikował szczegółową analizę na swoim blogu 5 kwietnia.

Znaleziony przez niego plik wykonywalny nazywał się POM.exe i jest to rodzaj programu instalacyjnego. Kiedy to uruchomiło, upuściło dwa pliki o nazwie filename.exe i filename.vbs do podfolderu% temp%. Aby uruchomić go automatycznie podczas uruchamiania, plik dodaje się do rejestru systemu jako program startowy i uruchamia program% temp% filename.exe.

Złośliwe oprogramowanie tworzy zawieszony proces potomny

Po uruchomieniu pliku filename.exe doprowadzi to do utworzenia zawieszonego procesu potomnego z tym samym, co w celu samoobrony.

Następnie wyodrębni nowy plik PE z własnego zasobu w celu zastąpienia pamięci procesu potomnego. Następnie następuje wznowienie wykonywania procesu potomnego.