முகவர் டெஸ்லா தீம்பொருள் கடந்த ஆண்டு மைக்ரோசாப்ட் வேர்ட் ஆவணங்கள் வழியாக பரவியது, இப்போது அது நம்மைத் தொந்தரவு செய்ய மீண்டும் வந்தது. ஸ்பைவேரின் சமீபத்திய மாறுபாடு பாதிக்கப்பட்டவர்களை ஒரு வேர்ட் ஆவணத்தில் தெளிவான பார்வையை இயக்க நீல ஐகானை இருமுறை கிளிக் செய்யுமாறு கேட்கிறது.

அதைக் கிளிக் செய்வதற்கு பயனர் கவனக்குறைவாக இருந்தால், இது உட்பொதிக்கப்பட்ட பொருளிலிருந்து.exe கோப்பை கணினியின் தற்காலிக கோப்புறையில் பிரித்தெடுத்து பின்னர் இயக்கப்படும். இந்த தீம்பொருள் எவ்வாறு செயல்படுகிறது என்பதற்கு இது ஒரு எடுத்துக்காட்டு மட்டுமே.

தீம்பொருள் MS விஷுவல் பேசிக் இல் எழுதப்பட்டுள்ளது

தீம்பொருள் எம்.எஸ். விஷுவல் பேசிக் மொழியில் எழுதப்பட்டுள்ளது, இதை சியோபெங் ஜாங் ஆய்வு செய்தார், அவர் விரிவான பகுப்பாய்வை ஏப்ரல் 5 அன்று தனது வலைப்பதிவில் வெளியிட்டார்.

அவர் கண்டறிந்த இயங்கக்கூடிய கோப்பு POM.exe என அழைக்கப்பட்டது, இது ஒரு வகையான நிறுவி நிரல். இது இயங்கும்போது, ​​அது filename.exe மற்றும் filename.vbs என்ற இரண்டு கோப்புகளை% temp% துணைக் கோப்புறையில் கைவிட்டது. தொடக்கத்தில் தானாக இயங்குவதற்கு, கோப்பு தன்னை ஒரு தொடக்க நிரலாக கணினி பதிவேட்டில் சேர்க்கிறது, மேலும் இது% temp% filename.exe ஐ இயக்குகிறது.

தீம்பொருள் இடைநிறுத்தப்பட்ட குழந்தை செயல்முறையை உருவாக்குகிறது

Filename.exe தொடங்கும் போது, ​​இது தன்னைப் பாதுகாத்துக் கொள்ளும் பொருட்டு இடைநிறுத்தப்பட்ட குழந்தை செயல்முறையை உருவாக்க வழிவகுக்கும்.

இதற்குப் பிறகு, குழந்தை செயல்முறையின் நினைவகத்தை மேலெழுத ஒரு புதிய PE கோப்பை அதன் சொந்த வளத்திலிருந்து பிரித்தெடுக்கும். பின்னர், குழந்தை செயல்முறையின் மரணதண்டனை மீண்டும் தொடங்குகிறது.