Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web odkrywa backdoora wymierzonego w użytkowników w Rosji, Wielkiej Brytanii, Hiszpanii i USA

15 sierpnia 2016

Doctor Web publikował już artykuł o trojanie korzystającym z narzędzia do zdalnej kontroli TeamViewer. Tym razem specjaliści firmy wykryli kolejnego backdoora instalującego na zainfekowanych maszynach legalne komponenty TeamViewer’a w celu szpiegowania użytkowników.

screen #drweb

Trojan, nazwany BackDoor.TeamViewerENT.1, jest dystrybuowany pod nazwą Spy-Agent, nazwą który współdzieli z interfejsem do swojego systemu zarządzania. Cyberprzestępcy opracowują ten złośliwy program od 2011 roku i regularnie publikują jego zmodyfikowane wersje. Ten artykuł skupi się na jednej z takich modyfikacji.

Podobnie jak jego odpowiednik BackDoor.TeamViewer.49, BackDoor.TeamViewerENT.1 jest wielokomponentowym trojanem, jednakże o ile jego poprzednik zaimplementował TeamViewer’a tylko do ładowania złośliwej biblioteki do pamięci zaatakowanego komputera, to BackDoor.TeamViewerENT.1 używa tego narzędzia do szpiegowania potencjalnych ofiar.

Główny “arsenał” trojana został osadzony w bibliotece avicap32.dll, a parametry niezbędne do jego działania są zapisane w zaszyfrowanym bloku konfiguracyjnym. BackDoor.TeamViewerENT.1 zapisuje również pliki i foldery potrzebne do działania TeamViewer’a, razem z kilkoma dodatkowymi plikami.

Jeśli program dla systemu Windows wymaga do swojej pracy załadowania biblioteki dynamicznej, system rozpoczyna wyszukiwanie pliku o takiej nazwie w tym samym katalogu, z którego dany program został uruchomiony, a następnie wyszukiwanie ma miejsce tylko w katalogu systemowym Windows. Twórcy wirusa zdecydowali się skorzystać z tej cechy Windowsów: TeamViewer potrzebuje standardowej biblioteki avicap32.dll, która jest zapisana w jednym z domyślnych katalogów systemowych, jednakże trojan zapisuje złośliwą bibliotekę o takiej samej nazwie w tym samym folderze, w którym zapisany jest oryginalny plik wykonywalny TeamViewer’a i, w rezultacie, Windows ładuje do pamięci tą złośliwą bibliotekę zamiast jej legalnego odpowiednika.

Uruchomiony, BackDoor.TeamViewerENT.1 wyłącza powiadamianie o błędach dla procesu TeamViewer’a, dodaje swoim plikom i plikom programu TeamViewer atrybuty “systemowy”, “ukryty” i “tylko do odczytu”, oraz przechwytuje wywołania funkcji TeamViewer’a i wywołania kilku funkcji systemowych. Jeśli zostanie stwierdzony brak pewnych plików lub komponentów wymaganych do poprawnej pracy TeamViewer’a, trojan pobierze je ze swojego serwera kontrolno-zarządzającego (C&C). Dodatkowo, jeśli BackDoor.TeamViewerENT.1 wykryje uruchomienie Menedżera Zadań Windows lub programu Process Explorer, to trojan zakończy działania procesu TeamViewer’a. Podłączony do serwera C&C, backdoor potrafi wykonywać następujące funkcje:

  • Ponownie uruchomić komputer
  • Wyłączyć komputer
  • Usunąć TeamViewer’a
  • Uruchomić ponownie TeamViewer’a
  • Uruchomić nasłuchiwanie z użyciem mikrofonu
  • Zatrzymać nasłuchiwanie z użyciem mikrofonu
  • Zidentyfikować kamerkę www
  • Uruchomić podgląd poprzez kamerkę www
  • Zatrzymać podgląd poprzez kamerkę www
  • Pobrać plik; a następnie zapisać go w folderze tymczasowym i uruchomić go
  • Zaktualizować plik konfiguracyjny i plik wykonywalny backdoor’a
  • Podłączyć się do określonego zdalnego serwera; a następnie uruchomić polecenie cmd.exe i wykonać przekierowanie wejścia/wyjścia na zdalny serwer

Wykonanie tych komend zapewnia cyberprzestępcom wspaniałe możliwości szpiegowania użytkowników i wykradania ich osobistych informacji. W szczególności wiemy, że twórcy wirusa używali tego trojana do instalowania złośliwych programów należących do rodzin Trojan.Keylogger i Trojan.PWS.Stealer. W toku przeprowadzonego śledztwa analitycy bezpieczeństwa Doctor Web wykryli, że backdoor bierze sobie za cel rezydentów kilku konkretnych krajów i regionów, a ataki przeprowadza w różnym czasie. Przykładowo, w lipcu BackDoor.TeamViewerENT.1 zaatakował komputery użytkowników w Europie, szczególnie w Wielkiej Brytanii i Hiszpanii, a w sierpniu cyberprzestępcy przenieśli swoje zainteresowanie na USA.

screen #drweb

screen #drweb

Niemniej jednak dużą liczbę przypadków wywołanych przez tego trojana zarejestrowano również w Rosji:

screen #drweb

Specjaliści Doctor Web nadal wnikliwie monitorują poczynania tego trojana i zalecają użytkownikom zachowanie wzmożonej ostrożności i regularne aktualizowanie baz wirusów w używanym oprogramowaniu antywirusowym. Antywirusy Dr.Web z powodzeniem wykrywają i usuwają wirusa BackDoor.TeamViewerENT.1, więc nie stanowi on żadnego zagrożenia dla użytkowników naszego oprogramowania.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A