背静阐述 AgentTesla起初是2015年发布的简洁键盘记录器。近些年，其研发团队图片增加了很多新功用并将其售卖。

AgentTesla现在是那种商业间谍手机软件，可用以添加考虑功用需求的特洛伊木马应用程序。

AgentTesla最常用的通讯方式是网络钓鱼电子邮箱，它通常随身携带故意文本文档并通过宏或漏洞利用执行程序恶意程序。

近期，令人信服的安全团队图片搜集了用到CVE-17年-11882散播AgentTesla来偷取信息的故意样版，并深入分析了进攻步骤。

深入分析 CVE-17年-11882 1.用到该专用工具控制文档形为。查询稍后运作的文本文档后，系统会运行eqnedt32.exe程序，并通过捕捉数据文件来捕捉免费下载的EXE文档的总流量。分辨恶意代码由CVE-17年-11882实行：    

2.通过额外调试器，Kernel32！WinExec下的断点，查验寄存器值，找寻运作'C: \ Users \ root \ AppData \ Roaming \ Adobe.exe'的指令，并分辨捕捉的总流量信息。恶意代码需要是当地储存的免费下载文档然后运作，推论用到URLDownloadToFile有关的API：

3.额外调试器断掉与网路有关的API，但应用程序沒有终断，因此涵数在eqnedt32.exe导致的涵数中被终断，单步校准到ret遮盖的回到具体位置，并实行故意码：

.4恶意代码最先解密码运存。该图是解密码前后左右的相对比较。您主观地看到用到的字符串信息。通过动太获得API具体位置，启用URLDownloadToFileW免费下载文档，然后通过WinExec运作： AgentTesla 1.  AgentTesla是一个用.Net框架结构编排的键盘记录器。用到反编译工具查询编码，自定涵数名字会搞混，但用到的API和键字符串仍旧是纯文件，您可以看击键。录屏的编码：  

2.除了键盘记录器，还要通过加载注册表项来获得服务器信息：  

3.用到DES计算方法加锁要发送到的统计数据：

.4有几种方法将失窃统计数据上传入远程控制C＆amp; C端： 通过ftp客户端提交：通过SMTP提交：

 通过.com提交：    

16.  AgentTesla的資源中内嵌了一个DLL文档，名叫IELibrary.dll，那是一个用以实现游览器使用的DLL文档。在AgentTesla中，界定了可以偷取信息的游览器和网路模块的名字。用到控制面板添加恶意程序时必选：

6.  IELibrary.dll具体搜集和使用游览器的信息，包含加上和删除历史记录： 偷取登陆密码和cookie：解 病毒检测和杀毒

1，深信为广阔客户出具免费杀毒专用工具，免费下载下列专用工具进行检测和杀毒。

32位系统下载地址： .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X64.2z 31位系统下载地址： .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X86.2z   2.深信EDR新产品，下一代防火墙和安全认知网络平台相应其它网络安全产品都配备了病毒检测功用。布署有关新产品的客户实行病毒检测，

如图所示： 病毒感染防御力

1.不要从末知网址下载微信，不要点一下来源不明的电子邮箱附件，不要自由启用宏;

2.免费下载修复应用程序以修复CVE-17年-11882： htpp://portal.msrc.microsoft.Com/es-usb/security-guidance/advisory/CVE-17年-11882 3.打开浏览器Windows Update功用并不定期自动更新系统;

4，说动防火墙设置用户，提议升級到AF805版本号，并打开浏览器人工智能技术模块储存，以提生防御力效果;

16.用到深层令人信服的网络安全产品网络访问安全的云人脑，并用到云查验服务管理即时检验新的威协。   末尾，提议企业对整个网路进行安全大检查和反病毒扫面，以提高保護。提议用到Deep Confidence Security Awareness + Firewall + EDR来检验，中止和保護内部结构网路。