Phần mềm độc hại Tesla đã lây lan qua các tài liệu Microsoft Word vào năm ngoái và bây giờ nó đã quay trở lại ám ảnh chúng tôi. Biến thể mới nhất của phần mềm gián điệp yêu cầu các nạn nhân nhấp đúp vào biểu tượng màu xanh để cho phép chế độ xem rõ ràng hơn trong tài liệu Word.

Nếu người dùng không đủ cẩn thận để nhấp vào nó, điều này sẽ dẫn đến việc trích xuất một tệp.exe từ đối tượng được nhúng vào thư mục tạm thời của hệ thống và sau đó chạy nó. Đây chỉ là một ví dụ về cách phần mềm độc hại này hoạt động.

Phần mềm độc hại được viết trong MS Visual Basic

Phần mềm độc hại được viết bằng ngôn ngữ MS Visual Basic và được phân tích bởi Xiaopeng Zhang, người đã đăng bài phân tích chi tiết trên blog của mình vào ngày 5 tháng Tư.

Tệp thực thi được tìm thấy bởi anh ta được gọi là POM.exe và đó là một loại chương trình cài đặt. Khi điều này chạy, nó đã bỏ hai tệp có tên filename.exe và filename.vbs vào thư mục con% temp%. Để làm cho nó chạy tự động khi khởi động, tệp sẽ tự thêm vào sổ đăng ký hệ thống dưới dạng chương trình khởi động và nó chạy% temp% filename.exe.

Phần mềm độc hại tạo ra một quy trình con bị đình chỉ

Khi filename.exe bắt đầu, điều này sẽ dẫn đến việc tạo ra một tiến trình con bị treo với cùng một quy trình để bảo vệ chính nó.

Sau đó, nó sẽ trích xuất một tệp PE mới từ tài nguyên của chính nó để ghi đè lên bộ nhớ của tiến trình con. Sau đó, việc nối lại quá trình thực thi quy trình con đến.