间谍软件Agent Tesla变种再现:通过特制Word文档诱导安装

近期 Fortinet 研究专家发现臭名昭著的间谍软件 Agent Tesla 出现了全新的变种,而变种传播是通过特制的 Microsoft Word文件进行的。

Agent Tesla 是一种用来收集系统键击记录、剪贴板内容、屏幕截图、身份凭证的间谍软件,很多用户使用这款软件窥探受害者。为了实现这些功能,这款间谍软件在主函数中创建了不同的线程和定时函数。

专家首先在去年 6 月份就发现了这款恶意软件变种。当时他们观察到威胁样本中,黑客通过 VBA 宏的自动执行进行软件的传播。一旦用户启用了文档中包含的宏,间谍软件就会在受害者机器上成功安装。

但在最新发现的行动中,黑客将附件文档的内容被制作成模糊的样子,这样用户会遵循文档上的说明,双击文档来得到更清晰的视图。

而如果用户照做了,这个文档就会提取可执行文件,在本地系统的临时文件中运行。

这个可执行文件名为“POM.exe”。运行的 POM.exe 即开始了恶意软件的最终安装程序。

使用分析软件查看这个可执行文件,可以看到黑客使用的是 MS Visual basic 进行编写。

根据我的分析,这是一种安装程序。 运行时,它将两个文件“filename.exe”和“filename.vbs”放入“%temp%\子文件夹”中。 然后在执行文件“filename.vbs”后退出进程。下面中,就是“filename.vbs”的内容。

而为了使这个间谍软件在系统启动的时候就开始自动运行,它还会在系统注册表中添加自己(filename.vbs)。

目前看来,新变种的 C&C服务器提交数据的方式已经改变。研究员表示,过去的攻击行动中使用的都是 HTTP POST 来发送收集的数据。但在观测到的最新变体中,它会使用 SMTPS 将收集到的数据发送到攻击者的邮箱。

更详细的 Agent Tesla 变种研究结果请见 Blog 原文。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-04-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏散尽浮华

web cache server方案比较:varnish、squid、nginx

linux运维中,web cache server方案的部署是一个很重要的环节,选择也有很多种比如:varnish、squid、nginx。 下面就对当下常用的...

617100
来自专栏NetCore

从三个方面提高网站的链接广泛度

从三个方面提高网站的链接广泛度      网站的链接广泛度(Link Popularity)在搜索引擎排名中的作用已得到广泛的认同和重视。实际上,即使...

18550
来自专栏Java技术栈

聊聊微服务架构及分布式事务解决方案!

分布式事务场景如何设计系统架构及解决数据一致性问题,个人理解最终方案把握以下原则就可以了,那就是:大事务=小事务(原子事务)+异步(消息通知),解决分布式事务的...

15540
来自专栏云计算爱好者

更新弹幕系统的心得体会

16年开始很多互联网公司都开始在涉足直播,直播业务中有弹幕的系统。今天就要给大家介绍一下弹幕系统优化的新的体会。随着直播业务的变化与发展,我司弹幕系统从最初的版...

298100
来自专栏VMCloud

【腾讯云的1001种玩法】在腾讯云上创建您的SQL Server 故障转移集群 (1)

在国内公有云厂商上搭建一套SQL Cluster的难度相信做Windows的童鞋都会很清楚,并非它的搭建有多少难度,只是很多细节需要注意。所以,今天我就来讲讲如...

5.5K20
来自专栏张善友的专栏

Visual Studio 2010快速参考指南里头的Scrum海报

Visual Studio ALM的快速参考指南是发布在codeplex上的一个指南文档, 地址是http://vs2010quickref.codeplex....

22260
来自专栏杨建荣的学习笔记

压测工具swingbench和sysbench对比(r12笔记第13天)

今天来说说两款压测工具sysbench,swingbench,早些时候傻傻分不清楚,其实两个差别大了去了。 swingbench 先来说说swingb...

42590
来自专栏张善友的专栏

Visual Round Trip Analyzer

Jim Pierson在Msdn杂志上写的一篇文章《使用 Visual Round Trip Analyzer 加快网页加载速度的 12 个步骤》。Visual...

23180
来自专栏程序员互动联盟

【专业技术第四讲】如何检测浏览器的快慢?

现在做浏览器的大概有下面几个方向吧 1. 从事浏览器外壳的工作,开发基于浏览器的各种应用和扩展; 2. 做浏览器内核优化的,大概又分为几个部分: a. 渲染模块...

352120
来自专栏weixuqin 的专栏

github学习(一)

43660

扫码关注云+社区

领取腾讯云代金券