Бэкдор для Windows, использует в работе компоненты TeamViewer

TeamViewerСпециалистами компании «Доктор Веб» был обнаружен троян BackDoor.TeamViewer.49, который производит установку программы TeamViewer на зараженный компьютер и использует его в качестве прокси-сервера. Компания также сообщает о появлении собрата данного трояна: BackDoor.TeamViewerENT.1 (он же Spy-Agent) который также само применяет в своей работе легальные компоненты программы TeamViewer.

Семейство троянов данного типа известно с 2011 года, и авторы малвари периодически выпускают новые версии вредоносов, развивая свой «продукт». Эксперты пишут, что по архитектуре BackDoor.TeamViewerENT.1 напоминает BackDoor.TeamViewer.49, состоящий сразу из нескольких модулей. Но, если найденный в мае троян использовал TeamViewer только для того, чтобы загрузить в память атакуемой машины вредоносную библиотеку, то новый бэкдор применяет TeamViewer для шпионажа за компьютером на котором он установлен.

Основные вредоносные функции малвари сосредоточены в библиотеке avicap32.dll, а настройки хранятся в зашифрованном конфигурационном блоке. Помимо специально созданной злоумышленниками вредоносной библиотеки троянец сохраняет на диск атакуемой машины необходимые для работы TeamViewer файлы и папки, а также несколько дополнительных файлов-модулей.

Используються легитимные возможности Windows

При этом злоумышленники эксплуатируют легитимные возможности Windows: если для работы приложению нужна загрузка динамической библиотеки, система сначала попытается найти файл с таким именем в той же папке, откуда была запущена программа, и лишь потом — в системных папках Windows. Так, приложению TeamViewer действительно необходима библиотека avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows. Малварь сохраняет вредоносную библиотеку с таким же именем прямо в папку с легитимным исполняемым файлом TeamViewer, в результате чего система загружает в память троянскую библиотеку вместо настоящей.

список жертв

После запуска BackDoor.TeamViewerENT.1 отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» и «только для чтения» своим собственным файлам и файлам этой программы, а затем перехватывает в памяти процесса TeamViewer вызовы функций этого приложения и ряда системных функций. Если для нормальной работы TeamViewer на атакованном компьютере не хватает каких-либо файлов или компонентов, троянец скачивает их со своего управляющего сервера. Помимо этого, если BackDoor.TeamViewerENT.1 обнаруживает попытку запуска программ «Диспетчер задач Windows» и Process Explorer, он завершает работу процесса TeamViewer на зараженной машине.

Бэкдор выполняет следующие команды злоумышленников

  • перезагрузить ПК;
  • выключить ПК;
  • начать прослушивание звука с микрофона;
  • завершить прослушивание звука с микрофона;
  • определить наличие веб-камеры;
  • начать просмотр через веб-камеру;
  • завершить просмотр через веб-камеру;
  • скачать файл, сохранить его во временную папку и запустить;
  • обновить конфигурационный файл или файл бэкдора;
  • удалить TeamViewer;
  • перезапустить TeamViewer;
  • подключиться к указанному удаленному узлу, после чего запустить cmd.exe с перенаправлением ввода-вывода на удаленный хост.

Данные команды открывают перед злоумышленниками широкие возможности для шпионажа за пользователями зараженных компьютеров, включая похищение конфиденциальной информации. В частности, известно, что с помощью этого троянца киберпреступники устанавливали на зараженные машины малварь из семейств Trojan.Keylogger и Trojan.PWS.Stealer.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Бэкдор для Windows, использует в работе компоненты TeamViewer