Agentas „Tesla“ kenkėjiška programinė įranga pasklido per „Microsoft Word“ dokumentus pernai, ir dabar ji vėl mus pradėjo persekioti. Naujausiame šnipinėjimo programos variante aukos prašomos du kartus spustelėti mėlyną piktogramą, kad „Word“ dokumente būtų aiškiau.

Jei vartotojas pakankamai neatsargiai spusteli jį, tai sukels.exe failą iš įterpto objekto į laikinąjį sistemos aplanką ir paleis jį. Tai tik pavyzdys, kaip ši kenkėjiška programa veikia.

Kenkėjiška programa yra parašyta „MS Visual Basic“

Kenkėjiška programinė įranga parašyta „MS Visual Basic“ kalba, ją išanalizavo Xiaopeng Zhang, kuri balandžio 5 d. Išspausdino išsamią analizę savo tinklaraštyje.

Jo atrastas vykdomasis failas buvo vadinamas POM.exe, ir tai yra savotiška diegimo programa. Kai tai vyko, ji paleido du failus, pavadintus filename.exe ir filename.vbs, į aplanką% temp%. Kad paleidimas vyktų automatiškai, failas pridedamas prie sistemos registro kaip paleisties programa ir paleis% temp% filename.exe.

Kenkėjiška programa sukuria sustabdytą vaiko procesą

Kai bus paleistas failas.exe, bus sukurtas sustabdyto vaiko procesas, kuris bus naudojamas taip, kad būtų apsisaugota.

Po to jis iš savo išteklių ištrauks naują PE failą, norėdamas perrašyti vaiko proceso atmintį. Tada vėl pradedamas vykdyti vaiko procesas.