Zlonamjerni softver agenta Tesle proširio se prošle godine dokumentima programa Microsoft Word, a sad nas je ponovno progonio. Najnovija varijanta špijunskog softvera traži od žrtava da dvostrukim klikom na plavu ikonu omoguće jasniji prikaz u Word dokumentu.

Ako je korisnik dovoljno neoprezan da klikne na njega, to će rezultirati ekstrakcijom.exe datoteke iz ugrađenog objekta u privremenu mapu sustava, a zatim je pokrenite. Ovo je samo primjer kako ovaj malware radi.

Zlonamjerni softver piše u MS Visual Basic

Zlonamjerni softver napisan je na jeziku MS Visual Basic, a analizirao ga je Xiaopeng Zhang koji je detaljnu analizu objavio na svom blogu 5. travnja.

Izvršna datoteka koju je pronašao zvala se POM.exe, i to je neka vrsta instalacijskog programa. Kada se ovo pokrenulo, spustile su dvije datoteke pod nazivom filename.exe i filename.vbs u podmapu% temp%. Da bi se pokrenuo automatski pri pokretanju, datoteka se dodaje u registar sustava kao pokretački program, a pokreće% temp% filename.exe.

Zlonamjerni softver stvara suspendiran podređeni postupak

Kada se pokrene filename.exe, to će dovesti do stvaranja suspendiranog podređenog postupka s istim onim koji bi se zaštitio.

Nakon toga, izvadit će novu PE datoteku iz vlastitog resursa kako bi prepisao memoriju podređenog procesa. Tada dolazi do ponovnog izvršavanja dječjeg procesa.