Злонамерни софтвер Агента Тесле проширио се прошле године кроз Мицрософт Ворд документе, а сада нас је поново прогонио. Најновија варијанта шпијунског софтвера тражи од жртава да двапут кликну на плаву икону како би се омогућио јаснији приказ у Ворд документу.

Ако је корисник довољно неопрезан да кликне на њега, то ће резултирати екстракцијом.еке датотеке из уграђеног објекта у привремену мапу система и затим је покренути. Ово је само пример како овај малваре делује.

Злонамерни софтвер је написан у МС Висуал Басиц

Злонамјерни софтвер је написан на језику МС Висуал Басиц, а анализирао га је Ксиаопенг Зханг који је детаљну анализу објавио на свом блогу 5. априла.

Извршна датотека коју је пронашао звала се ПОМ.еке, и то је нека врста инсталационог програма. Када се ово покренуло, спустило је две датотеке назване филенаме.еке и филенаме.вбс у подмапу% темп%. Да би се покренуо аутоматски при покретању, датотека се додаје у системски регистар као програм покретања и покреће% темп% филенаме.еке.

Злонамерни софтвер ствара суспендован подређени процес

Када се покрене филенаме.еке, то ће довести до стварања суспендованог подређеног процеса с истим оним који би се заштитио.

Након тога, извући ће нову ПЕ датотеку из сопственог ресурса за препис дечије меморије процеса. Тада долази до наставка извршења дечијег процеса.