Ο κακόβουλος πράκτορας Tesla εξαπλώθηκε μέσω εγγράφων του Microsoft Word πέρυσι, και τώρα επέστρεψε να μας στοιχειώσει. Η τελευταία παραλλαγή του spyware ζητά από τα θύματα να κάνουν διπλό κλικ σε ένα μπλε εικονίδιο για να επιτρέψουν μια πιο σαφή προβολή σε ένα έγγραφο του Word.

Εάν ο χρήστης είναι αρκετά απρόσεκτος για να κάνει κλικ σε αυτό, αυτό θα έχει ως αποτέλεσμα την εξαγωγή ενός αρχείου.exe από το ενσωματωμένο αντικείμενο στον προσωρινό φάκελο του συστήματος και στη συνέχεια να το εκτελέσετε. Αυτό είναι μόνο ένα παράδειγμα για το πώς λειτουργεί αυτό το malware.

Το κακόβουλο πρόγραμμα είναι γραμμένο στη MS Visual Basic

Το κακόβουλο λογισμικό είναι γραμμένο στη γλώσσα MS Visual Basic και αναλύθηκε από τον Xiaopeng Zhang ο οποίος δημοσίευσε τη λεπτομερή ανάλυση στο blog του στις 5 Απριλίου.

Το εκτελέσιμο αρχείο που βρέθηκε από αυτόν ονομάστηκε POM.exe και είναι ένα είδος προγράμματος εγκατάστασης. Όταν αυτό έτρεξε, έπεσε δύο αρχεία με όνομα filename.exe και filename.vbs στον υποφάκελο% temp%. Για να το εκτελέσει αυτόματα κατά την εκκίνηση, το αρχείο προστίθεται στο μητρώο του συστήματος ως πρόγραμμα εκκίνησης και τρέχει% temp% filename.exe.

Το κακόβουλο πρόγραμμα δημιουργεί μια διαδικασία αναβολής παιδιού

Όταν ξεκινά το filename.exe, αυτό θα οδηγήσει στη δημιουργία μιας διαδικασίας αναστολής παιδιών με την ίδια διαδικασία ώστε να προστατευθεί.

Μετά από αυτό, θα αποσπάσει ένα νέο αρχείο PE από το δικό του πόρο για να αντικαταστήσει τη μνήμη της παιδικής διαδικασίας. Στη συνέχεια, έρχεται η επανάληψη της εκτέλεσης της παιδικής διαδικασίας.