انتشرت البرمجيات الخبيثة للعميل تسلا عبر مستندات Microsoft Word العام الماضي ، والآن عادت لتطاردنا. يطلب أحدث إصدار من برامج التجسس من الضحايا النقر نقرًا مزدوجًا على أيقونة زرقاء لتمكين عرض أكثر وضوحًا في مستند Word.

إذا كان المستخدم مهملًا بدرجة كافية للنقر فوقه ، فسيؤدي ذلك إلى استخراج ملف. exe من الكائن المضمن في المجلد المؤقت للنظام ثم تشغيله. هذا مجرد مثال على كيفية عمل هذه البرامج الضارة.

يتم كتابة البرامج الضارة في MS Visual Basic

تمت كتابة البرامج الضارة بلغة MS Visual Basic ، وتم تحليلها بواسطة Xiaopeng Zhang الذي نشر التحليل المفصل على مدونته في الخامس من أبريل.

كان الملف القابل للتنفيذ الذي عثر عليه باسم POM.exe ، وهو نوع من برنامج المثبت. عند تشغيل هذا ، أسقطت ملفين باسم filename.exe و filename.vbs في المجلد الفرعي٪ temp٪. لجعله يعمل تلقائيًا عند بدء التشغيل ، يضيف الملف نفسه إلى سجل النظام كبرنامج بدء تشغيل ، ويقوم بتشغيل٪ temp٪ filename.exe.

تقوم البرامج الضارة بإنشاء عملية تابعة مع وقف التنفيذ

عند بدء تشغيل ملف filename.exe ، سيؤدي ذلك إلى إنشاء عملية تابعة معلقة بنفس الطريقة من أجل حماية نفسه.

بعد ذلك ، سيتم استخراج ملف PE جديد من مورده الخاص للكتابة فوق ذاكرة العملية التابعة. ثم ، يأتي استئناف تنفيذ العملية الفرعية.