В мае 2016 года специалисты компании «Доктор Веб» обнаружили трояна BackDoor.TeamViewer.49, который устанавливал на зараженные компьютеры приложение TeamViewer и использовали его в качестве прокси. Теперь компания сообщает, что у этого вредоноса появился «собрат»: BackDoor.TeamViewerENT.1 (он же Spy-Agent) тоже использует в работе легальные компоненты TeamViewer.

Данное семейство троянов известно с 2011 года, и авторы малвари регулярно выпускают новые версии вредоносов, развивая свой «продукт». Эксперты пишут, что по архитектуре BackDoor.TeamViewerENT.1 напоминает BackDoor.TeamViewer.49, состоящий сразу из нескольких модулей. Но если найденный в мае троян использовал TeamViewer только для того, чтобы загрузить в память атакуемой машины вредоносную библиотеку, то новый бэкдор применяет TeamViewer для шпионажа.

Основные вредоносные функции малвари сосредоточены в библиотеке avicap32.dll, а настройки хранятся в зашифрованном конфигурационном блоке. Помимо специально созданной злоумышленниками вредоносной библиотеки троянец сохраняет на диск атакуемой машины необходимые для работы TeamViewer файлы и папки, а также несколько дополнительных файлов-модулей.

При этом злоумышленники эксплуатируют легитимные возможности Windows: если для работы приложению нужна загрузка динамической библиотеки, система сначала попытается найти файл с таким именем в той же папке, откуда была запущена программа, и лишь потом — в системных папках Windows. Так, приложению TeamViewer действительно необходима библиотека avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows. Малварь сохраняет вредоносную библиотеку с таким же именем прямо в папку с легитимным исполняемым файлом TeamViewer, в результате чего система загружает в память троянскую библиотеку вместо настоящей.

После запуска BackDoor.TeamViewerENT.1 отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» и «только для чтения» своим собственным файлам и файлам этой программы, а затем перехватывает в памяти процесса TeamViewer вызовы функций этого приложения и ряда системных функций. Если для нормальной работы TeamViewer на атакованном компьютере не хватает каких-либо файлов или компонентов, троянец скачивает их со своего управляющего сервера. Помимо этого, если BackDoor.TeamViewerENT.1 обнаруживает попытку запуска программ «Диспетчер задач Windows» и Process Explorer, он завершает работу процесса TeamViewer на зараженной машине. Подключившись к управляющему серверу, бэкдор может выполнять следующие команды злоумышленников:

  • перезагрузить ПК;
  • выключить ПК;
  • удалить TeamViewer;
  • перезапустить TeamViewer;
  • начать прослушивание звука с микрофона;
  • завершить прослушивание звука с микрофона;
  • определить наличие веб-камеры;
  • начать просмотр через веб-камеру;
  • завершить просмотр через веб-камеру;
  • скачать файл, сохранить его во временную папку и запустить;
  • обновить конфигурационный файл или файл бэкдора;
  • подключиться к указанному удаленному узлу, после чего запустить cmd.exe с перенаправлением ввода-вывода на удаленный хост.

Данные команды открывают перед злоумышленниками широкие возможности для шпионажа за пользователями зараженных компьютеров, включая похищение конфиденциальной информации. В частности, известно, что с помощью этого троянца киберпреступники устанавливали на зараженные машины малварь из семейств Trojan.Keylogger и Trojan.PWS.Stealer.

Аналитики компании «Доктор Веб» провели исследование, в ходе которого удалось выяснить, что злоумышленники в разное время атакуют в основном жителей ряда определенных стран и регионов. Так, в июле 2016 года от атак в основном страдали жители Европы, особенно  резиденты Великобритании и Испании, а в августе 2016 года злоумышленники переключились на резидентов США. Также специалисты обнаружили немало зараженных устройств на территории России.

 

1 комментарий

  1. utkabobr

    20.08.2016 at 20:39

    Я извиняюсь если нельзя оставлять ссылки, но…. https://github.com/stonepans/TeamViewer_Test_Pub

Оставить мнение

Check Also

14 766 сертификатов Let’s Encrypt используются фишинговыми «PayPal»-сайтами

Аудит, проведенный исследователем SSL Store, показал, что Let's Encrypt выдал множество се…