FOR USERS

Library
My library

+ Add to library

Profile

Back to news

Doctor Web odkrywa backdoora wymierzonego w użytkowników w Rosji, Wielkiej Brytanii, Hiszpanii i USA

15 sierpnia 2016

Doctor Web publikował już artykuł o trojanie korzystającym z narzędzia do zdalnej kontroli TeamViewer. Tym razem specjaliści firmy wykryli kolejnego backdoora instalującego na zainfekowanych maszynach legalne komponenty TeamViewer’a w celu szpiegowania użytkowników.

screen #drweb

Trojan, nazwany BackDoor.TeamViewerENT.1, jest dystrybuowany pod nazwą Spy-Agent, nazwą który współdzieli z interfejsem do swojego systemu zarządzania. Cyberprzestępcy opracowują ten złośliwy program od 2011 roku i regularnie publikują jego zmodyfikowane wersje. Ten artykuł skupi się na jednej z takich modyfikacji.

Podobnie jak jego odpowiednik BackDoor.TeamViewer.49, BackDoor.TeamViewerENT.1 jest wielokomponentowym trojanem, jednakże o ile jego poprzednik zaimplementował TeamViewer’a tylko do ładowania złośliwej biblioteki do pamięci zaatakowanego komputera, to BackDoor.TeamViewerENT.1 używa tego narzędzia do szpiegowania potencjalnych ofiar.

Główny “arsenał” trojana został osadzony w bibliotece avicap32.dll, a parametry niezbędne do jego działania są zapisane w zaszyfrowanym bloku konfiguracyjnym. BackDoor.TeamViewerENT.1 zapisuje również pliki i foldery potrzebne do działania TeamViewer’a, razem z kilkoma dodatkowymi plikami.

Jeśli program dla systemu Windows wymaga do swojej pracy załadowania biblioteki dynamicznej, system rozpoczyna wyszukiwanie pliku o takiej nazwie w tym samym katalogu, z którego dany program został uruchomiony, a następnie wyszukiwanie ma miejsce tylko w katalogu systemowym Windows. Twórcy wirusa zdecydowali się skorzystać z tej cechy Windowsów: TeamViewer potrzebuje standardowej biblioteki avicap32.dll, która jest zapisana w jednym z domyślnych katalogów systemowych, jednakże trojan zapisuje złośliwą bibliotekę o takiej samej nazwie w tym samym folderze, w którym zapisany jest oryginalny plik wykonywalny TeamViewer’a i, w rezultacie, Windows ładuje do pamięci tą złośliwą bibliotekę zamiast jej legalnego odpowiednika.

Uruchomiony, BackDoor.TeamViewerENT.1 wyłącza powiadamianie o błędach dla procesu TeamViewer’a, dodaje swoim plikom i plikom programu TeamViewer atrybuty “systemowy”, “ukryty” i “tylko do odczytu”, oraz przechwytuje wywołania funkcji TeamViewer’a i wywołania kilku funkcji systemowych. Jeśli zostanie stwierdzony brak pewnych plików lub komponentów wymaganych do poprawnej pracy TeamViewer’a, trojan pobierze je ze swojego serwera kontrolno-zarządzającego (C&C). Dodatkowo, jeśli BackDoor.TeamViewerENT.1 wykryje uruchomienie Menedżera Zadań Windows lub programu Process Explorer, to trojan zakończy działania procesu TeamViewer’a. Podłączony do serwera C&C, backdoor potrafi wykonywać następujące funkcje:

  • Ponownie uruchomić komputer
  • Wyłączyć komputer
  • Usunąć TeamViewer’a
  • Uruchomić ponownie TeamViewer’a
  • Uruchomić nasłuchiwanie z użyciem mikrofonu
  • Zatrzymać nasłuchiwanie z użyciem mikrofonu
  • Zidentyfikować kamerkę www
  • Uruchomić podgląd poprzez kamerkę www
  • Zatrzymać podgląd poprzez kamerkę www
  • Pobrać plik; a następnie zapisać go w folderze tymczasowym i uruchomić go
  • Zaktualizować plik konfiguracyjny i plik wykonywalny backdoor’a
  • Podłączyć się do określonego zdalnego serwera; a następnie uruchomić polecenie cmd.exe i wykonać przekierowanie wejścia/wyjścia na zdalny serwer

Wykonanie tych komend zapewnia cyberprzestępcom wspaniałe możliwości szpiegowania użytkowników i wykradania ich osobistych informacji. W szczególności wiemy, że twórcy wirusa używali tego trojana do instalowania złośliwych programów należących do rodzin Trojan.Keylogger i Trojan.PWS.Stealer. W toku przeprowadzonego śledztwa analitycy bezpieczeństwa Doctor Web wykryli, że backdoor bierze sobie za cel rezydentów kilku konkretnych krajów i regionów, a ataki przeprowadza w różnym czasie. Przykładowo, w lipcu BackDoor.TeamViewerENT.1 zaatakował komputery użytkowników w Europie, szczególnie w Wielkiej Brytanii i Hiszpanii, a w sierpniu cyberprzestępcy przenieśli swoje zainteresowanie na USA.

screen #drweb

screen #drweb

Niemniej jednak dużą liczbę przypadków wywołanych przez tego trojana zarejestrowano również w Rosji:

screen #drweb

Specjaliści Doctor Web nadal wnikliwie monitorują poczynania tego trojana i zalecają użytkownikom zachowanie wzmożonej ostrożności i regularne aktualizowanie baz wirusów w używanym oprogramowaniu antywirusowym. Antywirusy Dr.Web z powodzeniem wykrywają i usuwają wirusa BackDoor.TeamViewerENT.1, więc nie stanowi on żadnego zagrożenia dla użytkowników naszego oprogramowania.

Więcej na temat tego trojana

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses
Doctor Web has been developing anti-virus software since 1992
Dr.Web is trusted by users around the world in 200+ countries
The company has delivered an anti-virus as a service since 2007
24/7 tech support

Dr.Web © Doctor Web
2003 — 2021

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125124, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A