Les logiciels malveillants de l’agent Tesla se sont propagés via des documents Microsoft Word l’année dernière et sont maintenant revenus nous hanter. La dernière variante du logiciel espion demande aux victimes de double-cliquer sur une icône bleue pour permettre une vision plus claire dans un document Word.

Si l'utilisateur est assez négligent pour cliquer dessus, cela entraînera l'extraction d'un fichier.exe de l'objet incorporé dans le dossier temporaire du système, puis son exécution. Ceci est seulement un exemple de la façon dont ce malware fonctionne.

Le malware est écrit dans le MS Visual Basic

Le malware est écrit dans le langage MS Visual Basic et a été analysé par Xiaopeng Zhang qui a publié l'analyse détaillée sur son blog le 5 avril.

Le fichier exécutable qu'il a trouvé s'appelle POM.exe et constitue en quelque sorte un programme d'installation. Lors de son exécution, deux fichiers nommés nomfichier.exe et nomfichier.vbs ont été déposés dans le sous-dossier% temp%. Pour qu'il s'exécute automatiquement au démarrage, le fichier s'ajoute lui-même au registre du système en tant que programme de démarrage et exécute% temp% filename.exe.

Le malware crée un processus enfant suspendu

Lors du démarrage de nomfichier.exe, cela entraînera la création d'un processus enfant suspendu avec le même processus afin de se protéger.

Après cela, il extraira un nouveau fichier PE de sa propre ressource pour écraser la mémoire du processus enfant. Vient ensuite la reprise de l'exécution du processus enfant.