Нетобзор - форум про интернет

Пожалуйста, войдите или зарегистрируйтесь.


Расширенный поиск  

Автор Тема: Хакеры разработали новый вредонос, использующий TeamViewer  (Прочитано 422 раз)

0 Пользователей и 1 Гость просматривают эту тему.

LutykАвтор темы

  • Саксовость мастдая в глючности его рулезных фич
  • Модератор
  • *
  • Благодарность: +1105/-0
  • Онлайн Онлайн
  • Сообщений: 5218
  • Город: на берегах Згара
  • Модем: work ZTE AC81B / lenovo p2/home power beam m2 400
  • Провайдер: Intertelecom CDMA / Kyivstar 3G UMTS/ ISP Mobit
  • Тариф: Супербезліміт 120 / 3G Адреналин + Ночной Безлимит
  • Антенна: Rnet 21 dBi 2 m
  • 0983833266/e-mail lutyk1999@ukr.net



В большинстве случаев разнообразное вредоносное программное обеспечение пользуется инструментом TeamViewer, чтобы получать несанкционированный доступ к инфицированному компьютеру. Новая троянская программа BackDoor.TeamViewer.49 применяет эту утилиту в других целях.

Как утверждают исследователи «Доктор Веб», распространение BackDoor.TeamViewer.49 осуществляется при помощи другой вредоносной программы Trojan.MulDrop6.39120, маскирующейся под обновление Adobe Flash Player. Троянская программа производит установку проигрывателя на компьютере и сохраняет на диске приложение TeamViewer, троянскую программу BackDoor.TeamViewer.49 и конфигурационный файл, необходимый для ее функционирования. В ходе установки на экране отображается окно настоящего инсталлятора Flash Player.

BackDoor.TeamViewer.49 пользуется различными функциями процесса TeamViewer. Преступники воспользовались тем, что после запуска программы осуществляется автоматическая загрузка в память компьютера библиотеки avicap32.dll. Злоумышленники разместили вредоносную библиотеку, имеющую аналогичное название, в папке, куда троянская программа Trojan.MulDrop6.39120 загружает TeamViewer.

После того, как TeamViewer была запущена, BackDoor.TeamViewer.49 удаляет ее иконку из области уведомлений Windows и выключает функционал уведомления об ошибках. Вредоносная программа регистрирует себя в автозагрузке и устанавливает атрибуты «системный» и «скрытый» для папки, в которой находятся вредоносная библиотека, исполняемый и конфигурационный файлы. Если установку атрибутов провести не удалось, троянская программа осуществляет удаление всех ключей, имеющих отношение к TeamViewer, из системного реестра.

Внутри вредоносной программы находится зашифрованная библиотека с перечнем имен C&C-серверов, применяемых для передачи инструкций злоумышленников. Передача информации между C&C-сервером и вредоносной программой производится в зашифрованном виде.

Троянская программа может выполнять несколько команд, в том числе устанавливать соединение с указанным узлом и перенаправлять трафик с C&C-сервера на удаленный узел через инфицированную рабочую станцию. Так злоумышленники с помощью зараженного устройства, выполняющего роль прокси, поддерживают свою анонимность.

Источник https://securenews.ru

 

+ Быстрый ответ