Лучшие приложения.
Лучшие приложения.
Лучшие приложения.
Лучшие приложения.

Троянец-бэкдор использует TeamViewer по-новому




Специалистам в области информационной безопасности известно несколько разновидностей вредоносных программ, использующих для получения несанкционированного доступа к зараженному компьютеру популярную утилиту удаленного администрирования TeamViewer, сообщает 25 мая компания «Доктор Веб». Однако новый троянец BackDoor.TeamViewer.49, обнаруженный вирусными аналитиками компании в мае 2016 года, является исключением из этого правила, поскольку эксплуатирует данную программу с совсем иными целями.

Для распространения троянца BackDoor.TeamViewer.49 киберпреступники используют другую вредоносную программу — Trojan.MulDrop6.39120, которая реализована в виде поддельного обновления Adobe Flash Player. Исполняемый файл Trojan.MulDrop6.39120 действительно устанавливает плеер на работающий под управлением Windows компьютер, но при этом втайне от пользователя сохраняет на диск приложение TeamViewer, троянца BackDoor.TeamViewer.49 и необходимый для его работы конфигурационный файл. В процессе установки на экране демонстрируется окно настоящего инсталлятора Flash Player.


Обычно различные троянцы используют TeamViewer с целью организации несанкционированного доступа к зараженному компьютеру. Однако бэкдору BackDoor.TeamViewer.49 утилита TeamViewer нужна совсем по другой причине: он активно использует в своей работе различные внутренние функции процесса этой программы. Кроме того, при своем запуске TeamViewer автоматически помещает в память компьютера библиотеку avicap32.dll, чем и воспользовались злоумышленники: они поместили в папку, в которую Trojan.MulDrop6.39120 сохраняет это приложение, троянскую библиотеку с таким же именем. В момент запуска TeamViewer автоматически загружает ее в память.

После запуска программы TeamViewer BackDoor.TeamViewer.49 удаляет ее значок из области уведомлений Windows и отключает в системе функцию показа сообщений об ошибках. Также троянец использует специальный механизм, призванный исключить его повторный запуск на зараженном компьютере. Необходимые для работы BackDoor.TeamViewer.49 параметры хранятся в зашифрованном конфигурационном файле.

BackDoor.TeamViewer.49 регистрирует себя в автозагрузке, а затем в непрерывном цикле, но с определенными интервалами, устанавливает атрибуты «системный» и «скрытый» для своей папки, где хранятся сам исполняемый файл, вредоносная библиотека и файл конфигурации. Если в какой-то момент времени установить эти атрибуты не удалось, вредоносная программа приступает к процедуре удаления из системного реестра всех ключей, относящихся к программе TeamViewer.

В теле троянца хранится еще одна зашифрованная библиотека, реализующая вредоносные функции BackDoor.TeamViewer.49. В ней содержится специальным образом сформированный массив с именами управляющих серверов, от которых троянец может получать различные команды. Вся информация, которой бэкдор обменивается с управляющим сервером, шифруется.

Троянец способен выполнять несколько управляющих директив, однако две основные из них — это команды на установку соединения с указанным удаленным узлом (включая возможность авторизации на нем) и на перенаправление трафика от управляющего сервера на заданный удаленный узел через инфицированный компьютер. Это позволяет злоумышленникам обеспечить собственную анонимность в Интернете, соединяясь с удаленными узлами через зараженный компьютер как через обычный прокси-сервер.

Вредоносные программы Trojan.MulDrop6.39120 и BackDoor.TeamViewer.49 распознаются и удаляются Антивирусом Dr.Web, отмечается в сообщении компании «Доктор Веб».
Автор: Softodrom.ru
Дата:
Новые публикации: Безопасность
30.03.2020 00:19

СМИ сообщили о плане властей контролировать москвичей по QR-кодам

В течение ближайшей недели в Москве будет развернута умная система контроля соблюдения домашнего режима и установленных правил перемещения граждан в связи с эпидемией коронавируса

28.03.2020 22:41

Эксперты: хакеры могут взломать каждый десятый компьютер на удаленке

Число таких компьютеров в России за последние недели существенно выросло из-за массового перехода на удаленную работу в связи с эпидемией коронавируса

25.03.2020 22:55

Чем и как обрабатывать смартфон от коронавируса?

«Лаборатория Касперского» рассказала о том, чем и как обрабатывать смартфон для защиты от коронавируса

25.03.2020 19:15

Пойман житель Кузбасса, предлагавший услуги по запугиванию коронавирусом

Полиция призывает граждан внимательно относиться к публикуемой в сети Интернет и мессенджерах информации

25.03.2020 18:50

ФСБ изъяла золотые слитки у торговцев крадеными данными

В результате спецоперации были задержаны более 30 участников преступной группы, которые создали более 90 интернет-магазинов по продаже похищенных данных

Популярные статьи: Безопасность
29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить

28.11.2017 06:35

Как найти адрес The Hidden Wiki

The Hidden Wiki — это вики-энциклопедия со ссылками на различные ресурсы Даркнета, расположенные в псевдо-домене .onion

13.11.2016 03:54

Как узнать емейл человека?

На этот раз мы обсудим проблему приватности и безопасности применительно к задаче поиска адреса электронной почты нужного нам человека

07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть

27.02.2020 22:06

Обнаружена уязвимость, затронувшая более миллиарда устройств

Новая уязвимость ставит под угрозу более миллиарда гаджетов, среди которых смартфоны, планшеты, IoT-девайсы, а также точки доступа Wi-Fi и маршрутизаторы

» Оставьте первым свой комментарий

Новости /
Безопасность /
Троянец-бэкдор использует TeamViewer по-новому
Все рубрики статей:

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика 
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».