ఏజెంట్ టెస్లా మాల్వేర్ గత సంవత్సరం మైక్రోసాఫ్ట్ వర్డ్ పత్రాల ద్వారా వ్యాపించింది, ఇప్పుడు అది మమ్మల్ని వెంటాడటానికి తిరిగి వచ్చింది. స్పైవేర్ యొక్క తాజా వేరియంట్ బాధితులను వర్డ్ డాక్యుమెంట్‌లో స్పష్టమైన వీక్షణను ప్రారంభించడానికి నీలి రంగు చిహ్నంపై డబుల్ క్లిక్ చేయమని అడుగుతుంది.

వినియోగదారు దానిపై క్లిక్ చేసేంత నిర్లక్ష్యంగా ఉంటే, ఇది ఎంబెడెడ్ ఆబ్జెక్ట్ నుండి.exe ఫైల్‌ను సిస్టమ్ యొక్క తాత్కాలిక ఫోల్డర్‌లోకి వెలికితీసి, ఆపై దాన్ని అమలు చేస్తుంది. ఈ మాల్వేర్ ఎలా పనిచేస్తుందో చెప్పడానికి ఇది ఒక ఉదాహరణ మాత్రమే.

మాల్వేర్ MS విజువల్ బేసిక్‌లో వ్రాయబడింది

మాల్వేర్ MS విజువల్ బేసిక్ భాషలో వ్రాయబడింది మరియు దీనిని జియాపెంగ్ జాంగ్ విశ్లేషించారు, అతను ఏప్రిల్ 5 న తన బ్లాగులో వివరణాత్మక విశ్లేషణను పోస్ట్ చేశాడు.

అతను కనుగొన్న ఎక్జిక్యూటబుల్ ఫైల్ను POM.exe అని పిలుస్తారు మరియు ఇది ఒక విధమైన ఇన్స్టాలర్ ప్రోగ్రామ్. ఇది నడుస్తున్నప్పుడు, ఇది filename.exe మరియు filename.vbs అనే రెండు ఫైళ్ళను% temp% ఉప ఫోల్డర్‌లో పడేసింది. ప్రారంభంలో దీన్ని స్వయంచాలకంగా అమలు చేయడానికి, ఫైల్ స్టార్టప్ ప్రోగ్రామ్‌గా సిస్టమ్ రిజిస్ట్రీకి జతచేస్తుంది మరియు ఇది% temp% filename.exe ను నడుపుతుంది.

మాల్వేర్ సస్పెండ్ చేయబడిన పిల్లల ప్రక్రియను సృష్టిస్తుంది

Filename.exe ప్రారంభమైనప్పుడు, ఇది తనను తాను రక్షించుకోవటానికి సస్పెండ్ చేయబడిన పిల్లల ప్రక్రియను సృష్టించడానికి దారితీస్తుంది.

దీని తరువాత, ఇది పిల్లల ప్రక్రియ యొక్క మెమరీని ఓవర్రైట్ చేయడానికి దాని స్వంత వనరు నుండి కొత్త PE ఫైల్‌ను సంగ్రహిస్తుంది. అప్పుడు, పిల్లల ప్రక్రియ యొక్క అమలు తిరిగి వస్తుంది.