Agent Tesla malware blev spredt via Microsoft Word-dokumenter sidste år, og nu kom det tilbage til at hjemsøge os. Den seneste variant af spyware beder ofrene om at dobbeltklikke på et blåt ikon for at aktivere en klarere visning i et Word-dokument.

Hvis brugeren er uforsigtig nok til at klikke på den, vil dette resultere i udtrækning af en.exe-fil fra det integrerede objekt i systemets midlertidige mappe og derefter køre den. Dette er kun et eksempel på, hvordan denne malware fungerer.

Malware er skrevet i MS Visual Basic

Malware er skrevet på MS Visual Basic-sproget, og det blev analyseret af Xiaopeng Zhang, der offentliggjorde den detaljerede analyse på sin blog den 5. april.

Den eksekverbare fil, der blev fundet af ham, blev kaldt POM.exe, og det er et slags installationsprogram. Da dette kørte, faldt det to filer med navnet filename.exe og filename.vbs i undermappen% temp%. For at få den til at køre automatisk ved opstart tilføjer filen sig selv til systemregistret som et startprogram, og det kører% temp% filename.exe.

Malware opretter en suspenderet børneproces

Når filename.exe starter, vil dette føre til oprettelse af en suspenderet underordnet proces med den samme som for at beskytte sig selv.

Herefter udtrækker den en ny PE-fil fra sin egen ressource for at overskrive barneprocessens hukommelse. Derefter kommer genoptagelsen af ​​udførelsen af ​​barneprocessen.