В прошлом году вредоносные программы агента Тесла распространились через документы Microsoft Word, и теперь они снова преследуют нас. Последний вариант программы-шпиона просит жертв дважды щелкнуть по синему значку, чтобы обеспечить более четкое представление в документе Word.

Если пользователь неосторожно щелкнет по нему, это приведет к извлечению файла.exe из встроенного объекта во временную папку системы, а затем запустит его. Это только пример того, как работает эта вредоносная программа.

Вредонос написан на MS Visual Basic

Вредоносная программа написана на языке MS Visual Basic и была проанализирована Xiaopeng Zhang, которая 5 апреля разместила подробный анализ в своем блоге.

Найденный им исполняемый файл назывался POM.exe, и это своего рода программа установки. При запуске он удалял два файла с именами filename.exe и filename.vbs в подпапку% temp%. Чтобы он автоматически запускался при запуске, файл добавляется в системный реестр как запускаемая программа и запускает% temp% filename.exe.

Вредонос создает приостановленный дочерний процесс

Когда запускается filename.exe, это приведет к созданию приостановленного дочернего процесса с тем же, что и для его защиты.

После этого он извлечет новый PE-файл из своего собственного ресурса, чтобы перезаписать память дочернего процесса. Затем возобновляется выполнение дочернего процесса.