Ajan Tesla kötü amaçlı yazılımı geçtiğimiz yıl Microsoft Word belgeleriyle yayıldı ve şimdi bizi ele geçirmek için geri geldi. Casus yazılımın en son çeşidi, kurbanlardan Word belgesinde daha net bir görüntü elde etmek için mavi bir simgeye çift tıklatmalarını ister.

Kullanıcı tıklayabilecek kadar dikkatsizse, bu bir.exe dosyasının gömülü nesneden sistemin geçici klasörüne çıkarılmasına ve ardından çalıştırılmasına neden olur. Bu sadece bu kötü amaçlı yazılımın nasıl çalıştığına bir örnektir.

Kötü amaçlı yazılım, MS Visual Basic'te yazılmış

Kötü amaçlı yazılım, MS Visual Basic dilinde yazılmıştır ve ayrıntılı bir analizini 5 Nisan'da blogunda yayınlayan Xiaopeng Zhang tarafından analiz edilmiştir.

Onun tarafından bulunan yürütülebilir dosyaya POM.exe adı verildi ve bu bir tür yükleyici programı. Bu çalıştırıldığında, filename.exe ve filename.vbs adlı iki dosyayı% temp% alt klasörüne bıraktı. Başlangıçta otomatik olarak çalışmasını sağlamak için, dosya kendisini bir başlangıç ​​programı olarak sistem kayıt defterine ekler ve% temp% filename.exe dosyasını çalıştırır.

Kötü amaçlı yazılım askıya alınmış bir çocuk işlemi oluşturuyor

Dosyaadı.exe başladığında, bu kendini korumak için aynı olan bir askıya alınmış çocuk sürecinin oluşturulmasına yol açacaktır.

Bundan sonra, alt sürecin belleğinin üzerine yazmak için kendi kaynağından yeni bir PE dosyası çıkartacaktır. Ardından, çocuk sürecinin yeniden başlatılması 'icrası geliyor.