Приложение дня: SoftEther VPN Client

Троянец-бэкдор использует TeamViewer по-новому



Автор: Softodrom.ru
Дата:


Специалистам в области информационной безопасности известно несколько разновидностей вредоносных программ, использующих для получения несанкционированного доступа к зараженному компьютеру популярную утилиту удаленного администрирования TeamViewer, сообщает 25 мая компания «Доктор Веб». Однако новый троянец BackDoor.TeamViewer.49, обнаруженный вирусными аналитиками компании в мае 2016 года, является исключением из этого правила, поскольку эксплуатирует данную программу с совсем иными целями.

Для распространения троянца BackDoor.TeamViewer.49 киберпреступники используют другую вредоносную программу — Trojan.MulDrop6.39120, которая реализована в виде поддельного обновления Adobe Flash Player. Исполняемый файл Trojan.MulDrop6.39120 действительно устанавливает плеер на работающий под управлением Windows компьютер, но при этом втайне от пользователя сохраняет на диск приложение TeamViewer, троянца BackDoor.TeamViewer.49 и необходимый для его работы конфигурационный файл. В процессе установки на экране демонстрируется окно настоящего инсталлятора Flash Player.


Обычно различные троянцы используют TeamViewer с целью организации несанкционированного доступа к зараженному компьютеру. Однако бэкдору BackDoor.TeamViewer.49 утилита TeamViewer нужна совсем по другой причине: он активно использует в своей работе различные внутренние функции процесса этой программы. Кроме того, при своем запуске TeamViewer автоматически помещает в память компьютера библиотеку avicap32.dll, чем и воспользовались злоумышленники: они поместили в папку, в которую Trojan.MulDrop6.39120 сохраняет это приложение, троянскую библиотеку с таким же именем. В момент запуска TeamViewer автоматически загружает ее в память.

После запуска программы TeamViewer BackDoor.TeamViewer.49 удаляет ее значок из области уведомлений Windows и отключает в системе функцию показа сообщений об ошибках. Также троянец использует специальный механизм, призванный исключить его повторный запуск на зараженном компьютере. Необходимые для работы BackDoor.TeamViewer.49 параметры хранятся в зашифрованном конфигурационном файле.

BackDoor.TeamViewer.49 регистрирует себя в автозагрузке, а затем в непрерывном цикле, но с определенными интервалами, устанавливает атрибуты «системный» и «скрытый» для своей папки, где хранятся сам исполняемый файл, вредоносная библиотека и файл конфигурации. Если в какой-то момент времени установить эти атрибуты не удалось, вредоносная программа приступает к процедуре удаления из системного реестра всех ключей, относящихся к программе TeamViewer.

В теле троянца хранится еще одна зашифрованная библиотека, реализующая вредоносные функции BackDoor.TeamViewer.49. В ней содержится специальным образом сформированный массив с именами управляющих серверов, от которых троянец может получать различные команды. Вся информация, которой бэкдор обменивается с управляющим сервером, шифруется.

Троянец способен выполнять несколько управляющих директив, однако две основные из них — это команды на установку соединения с указанным удаленным узлом (включая возможность авторизации на нем) и на перенаправление трафика от управляющего сервера на заданный удаленный узел через инфицированный компьютер. Это позволяет злоумышленникам обеспечить собственную анонимность в Интернете, соединяясь с удаленными узлами через зараженный компьютер как через обычный прокси-сервер.

Вредоносные программы Trojan.MulDrop6.39120 и BackDoor.TeamViewer.49 распознаются и удаляются Антивирусом Dr.Web, отмечается в сообщении компании «Доктор Веб».


28.05.2022 07:40

Россия предупредила США о последствиях в случае поставки РСЗО Украине

Это оружие даст возможность украинским военным нанести удары по российским городам


27.05.2022 15:35

Расследование дела хакеров REvil зашло в тупик

Летом 2021 года президент Владимир Путин опроверг утверждения о причастности России к хакерским атакам на американские мясокомбинаты компании JBS, в которых обвиняли хакеров REvil


26.05.2022 23:57

Рогозин: Россия запустит тысячи спутников для слежения за боевыми действиями на Украине

«Роскосмос» планирует развернуть масштабную орбитальную группировку, которая позволит на постоянной основе вести наблюдение за боевыми действиями на Украине


26.05.2022 21:41

Лукашенко приказал создать оперативное военное командование на украинском направлении

Президент Белоруссии Александр Лукашенко заявил о создании южного оперативного командования


26.05.2022 21:25

Генерал Шаманов назвал одну из главных ошибок в операции на Украине

Процесс демилитаризации и денацификации Украины может занять от пяти до десяти лет, считает замглавы комитета Госдумы по развитию гражданского общества, экс-командующий ВДВ генерал-полковник Владимир Шаманов


Популярное: Безопасность
28.05.2022 07:40

Россия предупредила США о последствиях в случае поставки РСЗО Украине

Это оружие даст возможность украинским военным нанести удары по российским городам


27.05.2022 15:35

Расследование дела хакеров REvil зашло в тупик

Летом 2021 года президент Владимир Путин опроверг утверждения о причастности России к хакерским атакам на американские мясокомбинаты компании JBS, в которых обвиняли хакеров REvil


26.05.2022 21:41

Лукашенко приказал создать оперативное военное командование на украинском направлении

Президент Белоруссии Александр Лукашенко заявил о создании южного оперативного командования


26.05.2022 21:25

Генерал Шаманов назвал одну из главных ошибок в операции на Украине

Процесс демилитаризации и денацификации Украины может занять от пяти до десяти лет, считает замглавы комитета Госдумы по развитию гражданского общества, экс-командующий ВДВ генерал-полковник Владимир Шаманов


26.05.2022 23:57

Рогозин: Россия запустит тысячи спутников для слежения за боевыми действиями на Украине

«Роскосмос» планирует развернуть масштабную орбитальную группировку, которая позволит на постоянной основе вести наблюдение за боевыми действиями на Украине


» Оставьте первым свой комментарий

Все рубрики статей (1868 / 0):


Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2022 Softodrom.ru
О проекте | О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | Карта сайта
Яндекс.Метрика