エージェントTeslaマルウェアは、昨年Microsoft Word文書を介して拡散し、今では私たちを悩ませるようになりました。 スパイウェアの最新の亜種は、犠牲者に青いアイコンをダブルクリックして、Word文書をより明確に表示するよう要求します。

ユーザーが不注意でクリックすると、埋め込みオブジェクトからシステムの一時フォルダーに.exeファイルが抽出され、実行されます。 これは、このマルウェアの仕組みの例にすぎません。

マルウェアはMS Visual Basicで書かれています

このマルウェアはMS Visual Basic言語で記述されており、4月5日に彼のブログに詳細な分析を投稿したXiaopeng Zhangによって分析されました。

彼が見つけた実行可能ファイルはPOM.exeと呼ばれ、一種のインストーラプログラムです。 これが実行されると、filename.exeおよびfilename.vbsという名前の2つのファイルが％temp％subfolderにドロップされました。 起動時に自動的に実行するために、ファイルは自身を起動プログラムとしてシステムレジストリに追加し、％temp％filename.exeを実行します。

マルウェアは一時停止した子プロセスを作成します

filename.exeが起動すると、自身を保護するために、これと同じ一時停止された子プロセスが作成されます。

この後、独自のリソースから新しいPEファイルを抽出して、子プロセスのメモリを上書きします。 次に、子プロセスの実行が再開されます。