תוכנות זדוניות של הסוכן טסלה התפשטו באמצעות מסמכי Microsoft Word בשנה שעברה, ועכשיו זה חזר לרדוף אותנו. הגרסא האחרונה של תוכנות ריגול מבקשת מהקורבנות ללחוץ פעמיים על סמל כחול כדי לאפשר תצוגה ברורה יותר במסמך Word.

אם המשתמש לא מספיק זהיר כדי ללחוץ עליו, הדבר יביא לחילוץ קובץ.exe מהאובייקט המוטמע בתיקיה הזמנית של המערכת ואז להפעיל אותו. זו רק דוגמא לאופן שבו תוכנה זדונית זו עובדת.

התוכנה הזדונית כתובה ב- MS Visual Basic

התוכנה הזדונית כתובה בשפה MS Visual Basic והיא נותחה על ידי שיאופנג ג'אנג שפרסם את הניתוח המפורט בבלוג שלו ב- 5 באפריל.

קובץ ההפעלה שנמצא על ידו נקרא POM.exe, והוא סוג של תוכנית התקנה. כאשר פעולה זו יצאה, היא הפילה שני קבצים בשם filename.exe ו- filename.vbs לתיקיית המשנה% temp%. כדי לגרום לו לפעול באופן אוטומטי בעת ההפעלה, הקובץ מוסיף את עצמו לרישום המערכת כתוכנית הפעלה, והוא מפעיל% temp% filename.exe.

התוכנה הזדונית יוצרת תהליך מושעה לילד

כאשר filename.exe מתחיל, הדבר יוביל ליצירת תהליך הושעה לילד עם אותו הדבר כדי להגן על עצמו.

לאחר מכן הוא יחלץ קובץ PE חדש ממשאב משלו כדי להחליף את הזיכרון של תהליך הילד. לאחר מכן, חידוש ביצוע הילד בתהליך.