Stary wirus AgentTesla ewoluował i może teraz omijać oprogramowanie antywirusowe: oto, co potrafi i dlaczego badacze są zaniepokojeni.
Badacze firmy Sophos biją na alarm: stary wirus AgentTesla został niedawno zaktualizowany, a nowe wersje są znacznie groźniejsze niż ta już znana. Opisane jako V2 i V3, te nowe wersje złośliwego oprogramowania zdołały ominąć antywirusy.
Ponieważ AgentTesla jest wirusem znanym i badanym od 2014 roku, w rzeczywistości zwykłe komercyjne antywirusy i Microsoft Windows Defender (tj. darmowy antywirus wbudowany w Windows 10) zwykle zdołały przechwycić złośliwe oprogramowanie i zablokować je. Dlatego też hakerzy opracowali nowe wersje, aby ich złośliwy kod mógł dostać się do komputera i działać bez zakłóceń, nie będąc wykrytym. Ponieważ AgentTesla jest bardzo groźnym wirusem, badacze cyberbezpieczeństwa ostrzegają wszystkich: uważajcie na nowe wersje.
Nowe wersje AgentTesla, co się zmienia
AgentTesla w wersji 2 i 3 został zaprogramowany tak, by działać na istotny składnik zabezpieczeń komputerów z systemem Windows: Microsoft Anti-Malware Software Interface (AMSI).
AMSI to składnik systemu Windows, który pozwala komercyjnemu oprogramowaniu antywirusowemu rozmawiać z systemem operacyjnym. AgentTesla jest teraz w stanie oszukać AMSI i wyłączyć antywirusa.
Oznacza to, że wirus może wejść do komputera i działać bez przeszkód, wykonując wszystkie niebezpieczne działania, do których został zaprogramowany.
AgentTesla: Dlaczego jest niebezpieczny
AgentTesla to 'RAT', czyli 'Remote Access Trojan', który działa jako 'infostealer'. Najprościej mówiąc, jest to zdalnie sterowany wirus, który wykrada informacje z zainfekowanego komputera.
Złośliwe oprogramowanie może nagrywać to, co użytkownik pisze na klawiaturze, odczytywać dane z dysku twardego, wykonywać zrzuty ekranu, wykradać dane dostępowe do stron internetowych (w tym banków internetowych) i wiele więcej.
Nowe funkcje dodane ostatnio do tego wirusa obejmują możliwość łączenia się z ukrytymi serwerami kontroli w sieci TOR.