एजेंट टेस्ला मैलवेयर पिछले साल माइक्रोसॉफ्ट वर्ड दस्तावेज़ों के माध्यम से फैल गया, और अब यह हमें परेशान करने के लिए वापस आ गया। स्पाइवेयर का नवीनतम संस्करण पीड़ितों को एक Word दस्तावेज़ में स्पष्ट दृश्य को सक्षम करने के लिए नीले आइकन पर डबल-क्लिक करने के लिए कहता है।

यदि उपयोगकर्ता इस पर क्लिक करने के लिए पर्याप्त लापरवाह है, तो यह सिस्टम के अस्थायी फ़ोल्डर में एम्बेडेड ऑब्जेक्ट से.exe फ़ाइल के निष्कर्षण का परिणाम होगा और फिर उसे चलाएगा। यह केवल एक उदाहरण है कि यह मैलवेयर कैसे काम करता है।

मैलवेयर MS Visual Basic में लिखा जाता है

मैलवेयर को MS Visual Basic भाषा में लिखा गया है, और इसका विश्लेषण Xiaopeng Zhang द्वारा किया गया था, जिसने 5 अप्रैल को अपने ब्लॉग पर विस्तृत विश्लेषण पोस्ट किया था।

उनके द्वारा पाई गई निष्पादन योग्य फ़ाइल POM.exe कहलाती है, और यह एक तरह का इंस्टॉलर प्रोग्राम है। जब यह भागा, तो इसने फाइल नाम %.exe और filename.vbs नामक दो फाइलों को% अस्थायी% सबफ़ोल्डर में गिरा दिया। इसे स्टार्टअप पर स्वचालित रूप से चलाने के लिए, फ़ाइल स्टार्टअप प्रोग्राम के रूप में सिस्टम रजिस्ट्री में खुद को जोड़ता है, और यह% temp% filename.exe चलाता है।

मैलवेयर एक निलंबित बच्चे की प्रक्रिया बनाता है

जब filename.exe शुरू होता है, तो यह उसी के साथ एक निलंबित बच्चे की प्रक्रिया का निर्माण करेगा, ताकि खुद की सुरक्षा हो सके।

इसके बाद, यह बच्चे की प्रक्रिया की मेमोरी को ओवरराइट करने के लिए अपने स्वयं के संसाधन से एक नई पीई फ़ाइल निकालेगा। फिर, बच्चे की प्रक्रिया के निष्पादन को फिर से शुरू करना आता है।