A Tesla ügynök rosszindulatú programja a Microsoft Word dokumentumain keresztül terjedt el az elmúlt évben, és most vissza kísértett minket. A kémprogram legújabb változata arra kéri az áldozatokat, hogy kattintson duplán a kék ikonra, hogy a Word-dokumentum világosabb legyen.

Ha a felhasználó elég gondatlan ahhoz, hogy rákattintson, akkor az.exe fájlt kibontják a beágyazott objektumból a rendszer ideiglenes mappájába, majd futtatják. Ez csak egy példa a rosszindulatú programok működésére.

A rosszindulatú szoftvert az MS Visual Basic tartalmazza

A rosszindulatú programot az MS Visual Basic nyelven írták, és azt Xiaopeng Zhang elemezte, aki április 5-én a blogjában közzétette a részletes elemzést.

Az általa megtalált futtatható fájl POM.exe volt, és ez egyfajta telepítő program. Amikor ez futott, két filename.exe és filename.vbs nevû fájlt dobott el a% temp% almappába. Annak érdekében, hogy automatikusan induljon az indításkor, a fájl hozzáadja magát a rendszerleíró adatbázishoz indító programként, és futtatja a% temp% filename.exe fájlt.

A rosszindulatú program felfüggesztett gyermekfolyamatot hoz létre

A fájlnév.exe elindulásakor egy felfüggesztett gyermekfolyamat jön létre ugyanazzal a folyamattal, mint az ön védelme érdekében.

Ezután új PE fájlt fog kinyerni a saját erőforrásából, hogy felülírja a gyermekfolyamat memóriáját. Ezután eljön a gyermekfolyamat végrehajtásának folytatása.