Aģenta Tesla ļaunprogrammatūra pagājušajā gadā tika izplatīta, izmantojot Microsoft Word dokumentus, un tagad tā mūs vajāja. Spiegprogrammatūras jaunākajā variantā upuriem tiek lūgts divreiz noklikšķināt uz zilas ikonas, lai Word dokumentā būtu skaidrāks skats.

Ja lietotājs ir pietiekami neuzmanīgs, lai uz tā noklikšķinātu, no tā iegūsiet.exe failu no pagaidu objekta un pēc tam to palaidīsit. Šis ir tikai piemērs tam, kā šī ļaunprātīgā programmatūra darbojas.

Ļaunprātīgā programmatūra ir ierakstīta MS Visual Basic

Ļaunprātīgā programmatūra ir uzrakstīta MS Visual Basic valodā, un to analizēja Sjaopengs Džans, kurš detalizētu analīzi savā blogā ievietoja 5. aprīlī.

Viņa atrastais izpildāmais fails tika saukts par POM.exe, un tā ir sava veida instalēšanas programma. Kad tas tika izpildīts, divi faili ar nosaukumu filename.exe un filename.vbs tika ievietoti apakšmapē% temp%. Lai tas startēšanas laikā darbotos automātiski, fails tiek pievienots sistēmas reģistram kā startēšanas programma, un tas darbojas% temp% filename.exe.

Ļaunprātīga programmatūra rada apturēta bērna procesu

Kad sākas faila nosaukums.exe, tiks izveidots apturēta bērna process ar tādu pašu procesu, lai sevi aizsargātu.

Pēc tam tas no sava resursa izvilks jaunu PE failu, lai pārrakstītu bērna procesa atmiņu. Pēc tam sāk atsākt bērna procesa izpildi.