В большинстве случаев разнообразное вредоносное программное обеспечение пользуется инструментом TeamViewer, чтобы получать несанкционированный доступ к инфицированному компьютеру. Новая троянская программа BackDoor.TeamViewer.49 применяет эту утилиту в других целях.
Как утверждают исследователи «Доктор Веб», распространение BackDoor.TeamViewer.49 осуществляется при помощи другой вредоносной программы Trojan.MulDrop6.39120, маскирующейся под обновление Adobe Flash Player. Троянская программа производит установку проигрывателя на компьютере и сохраняет на диске приложение TeamViewer, троянскую программу BackDoor.TeamViewer.49 и конфигурационный файл, необходимый для ее функционирования. В ходе установки на экране отображается окно настоящего инсталлятора Flash Player.
BackDoor.TeamViewer.49 пользуется различными функциями процесса TeamViewer. Преступники воспользовались тем, что после запуска программы осуществляется автоматическая загрузка в память компьютера библиотеки avicap32.dll. Злоумышленники разместили вредоносную библиотеку, имеющую аналогичное название, в папке, куда троянская программа Trojan.MulDrop6.39120 загружает TeamViewer.
После того, как TeamViewer была запущена, BackDoor.TeamViewer.49 удаляет ее иконку из области уведомлений Windows и выключает функционал уведомления об ошибках. Вредоносная программа регистрирует себя в автозагрузке и устанавливает атрибуты «системный» и «скрытый» для папки, в которой находятся вредоносная библиотека, исполняемый и конфигурационный файлы. Если установку атрибутов провести не удалось, троянская программа осуществляет удаление всех ключей, имеющих отношение к TeamViewer, из системного реестра.
Внутри вредоносной программы находится зашифрованная библиотека с перечнем имен C&C-серверов, применяемых для передачи инструкций злоумышленников. Передача информации между C&C-сервером и вредоносной программой производится в зашифрованном виде.
Троянская программа может выполнять несколько команд, в том числе устанавливать соединение с указанным узлом и перенаправлять трафик с C&C-сервера на удаленный узел через инфицированную рабочую станцию. Так злоумышленники с помощью зараженного устройства, выполняющего роль прокси, поддерживают свою анонимность.
Источник https://securenews.ru