Agent Tesla malware se minulý rok rozšířil prostřednictvím dokumentů aplikace Microsoft Word a nyní se vrátil a pronásledoval nás. Nejnovější varianta spywaru vyžaduje, aby oběti poklepaly na modrou ikonu a umožnily tak jasnější zobrazení v dokumentu Word.

Pokud je uživatel dostatečně neopatrný, aby na něj mohl kliknout, bude to mít za následek extrakci souboru EXE z vloženého objektu do dočasné složky systému a poté jej spusťte. Toto je pouze příklad toho, jak tento malware funguje.

Malware je zapsán v MS Visual Basicu

Malware je psán v jazyce MS Visual Basic a byl analyzován Xiaopeng Zhangem, který zveřejnil podrobnou analýzu na svém blogu 5. dubna.

Spustitelný soubor, který našel, se jmenoval POM.exe a jedná se o jakýsi instalační program. Když to spustilo, zahodilo dva soubory s názvem filename.exe a filename.vbs do podsložky% temp%. Aby se soubor spustil automaticky při spuštění, přidá se do systémového registru jako spouštěcí program a spustí% temp% filename.exe.

Malware vytváří pozastavený podřízený proces

Po spuštění souboru filename.exe to povede k vytvoření pozastaveného podřízeného procesu, který bude stejný, aby se chránil sám.

Poté vyjme nový soubor PE ze svého vlastního zdroje a přepíše paměť podřízeného procesu. Poté dojde k obnovení provádění podřízeného procesu.