Zlonamerna programska oprema agenta Tesle se je lani razširila z dokumenti Microsoft Word, zdaj pa nas je spet zasledila. Najnovejša različica vohunske programske opreme zahteva, da žrtve dvakrat kliknejo modro ikono, da se v dokumentu Word omogoči bolj jasen pogled.

Če je uporabnik dovolj nepreviden, da klikne nanj, bo to povzročilo ekstrahiranje datoteke.exe iz vdelanega predmeta v začasno mapo sistema in nato zagon. To je le primer, kako deluje ta zlonamerna programska oprema.

Zlonamerna programska oprema je zapisana v MS Visual Basic

Zlonamerna programska oprema je napisana v jeziku MS Visual Basic, analiziral pa jo je Xiaopeng Zhang, ki je podrobno analizo objavil na svojem blogu 5. aprila.

Izvršna datoteka, ki jo je našel, se je imenovala POM.exe in je nekakšen program za namestitev. Ko je tekla, je v podmapo% temp% spustila dve datoteki z imenom filename.exe in filename.vbs. Če želite, da se ob zagonu samodejno zažene, se datoteka doda v sistemski register kot zagonski program in zažene% temp% filename.exe.

Zlonamerna programska oprema ustvari zaustavljen otroški postopek

Ko se bo filename.exe zagnalo, bo to vodilo k ustvarjanju suspendiranega nadrejenega procesa z enakim kot za zaščito.

Po tem bo iz lastnega vira izvlekel novo datoteko PE, s katero bo prepisal nadrejeni pomnilnik. Nato sledi nadaljevanje izvršitve otroškega procesa.