Agen Tesla malware mendapat penyebaran melalui dokumen Microsoft Word tahun lepas, dan kini ia kembali menghantui kami. Varian terbaru spyware itu meminta mangsa untuk mengklik dua kali pada ikon biru untuk membolehkan paparan yang lebih jelas dalam dokumen Word.

Jika pengguna cukup ceroboh untuk mengklik padanya, ini akan menyebabkan pengekstrakan fail.exe dari objek tertanam ke dalam folder sementara sistem dan kemudian menjalankannya. Ini hanya contoh bagaimana malware ini berfungsi.

Malware ini ditulis dalam MS Visual Basic

Malware ini ditulis dalam bahasa MS Visual Basic, dan dianalisis oleh Xiaopeng Zhang yang menyiarkan analisis terperinci pada blognya pada 5 April.

Fail yang boleh dieksekusi olehnya dipanggil POM.exe, dan ia adalah satu jenis program pemasang. Apabila ini berlari, ia menjatuhkan dua fail bernama filename.exe dan filename.vbs ke subfolder% temp%. Untuk membuatnya berjalan secara automatik pada permulaan, fail itu menambah dirinya kepada sistem pendaftaran sebagai program permulaan, dan ia menjalankan% temp% filename.exe.

Malware mewujudkan proses anak yang digantung

Apabila filename.exe bermula, ini akan membawa kepada penciptaan proses kanak-kanak yang digantung dengan cara yang sama untuk melindungi dirinya sendiri.

Selepas ini, ia akan mengeluarkan fail PE baru dari sumbernya sendiri untuk menimpa memori proses kanak-kanak. Kemudian, pelaksanaan semula proses kanak-kanak itu datang.