Обнаруженный «Доктор Веб» бэкдор-шпион атакует жителей России, Великобритании, Испании и США

Поиск по сайту

bit.samag.ru

Web

Рассылка Subscribe.ru

подписаться письмом

Вход в систему


Запомнить меня
Регистрация Забыли пароль?

О журнале

Ваше мнение

Статьи

Общие тенденции и тренды

Архив

Мероприятия

Календарь мероприятий

январь

2025

показать все

Новости партнеров

14.01.2025

RED Security SOC: хакеры усилили давление на критическую информационную инфраструктуру России

14.01.2025

«Газинформсервис» занял 2-ое место в списке поставщиков решений для защиты информации в РФ

27.12.2024

РАЭК определила лидера среди классифайдов по числу объявлений о долгосрочной аренде

26.12.2024

За экспертизой в инфобезе — к «Газинформсервису»

26.12.2024

Компания «ИнфоТеКС» объявляет о выпуске сертифицированной версии ViPNet xFirewall 5.6.2

показать все

Статьи

13.01.2025

Как управлять командой разработчиков в условиях постоянных изменений?

13.01.2025

Как привлекать ИТ-таланты в условиях дефицита кадров?

12.01.2025

Импортозамещение платформ серверной виртуализации

12.12.2024

Что следует учитывать ИТ-директорам, прежде чем претендовать на должность генерального директора?

11.12.2024

Сетевая инфраструктура, сетевые технологии: что лучше – самостоятельная поддержка или внешнее обслуживание?

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

18.04.2024

5 способов повысить безопасность электронной подписи

18.04.2024

Как искусственный интеллект изменит экономику

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

показать все

Обнаруженный «Доктор Веб» бэкдор-шпион атакует жителей России, Великобритании, Испании и США

Главная / Новости партнеров / Обнаруженный «Доктор Веб» бэкдор-шпион атакует жителей России, Великобритании, Испании и США

Компания «Доктор Веб» уже рассказывала о троянце, использующем популярную программу удаленного администрирования компьютеров TeamViewer. Теперь наши вирусные аналитики обнаружили еще одного бэкдора, устанавливающего на атакуемый компьютер в целях шпионажа легальные компоненты TeamViewer.

Троянец, получивший наименование BackDoor.TeamViewerENT.1, также имеет самоназвание Spy-Agent (так называется административный интерфейс его системы управления). Злоумышленники развивают этих троянцев с 2011 года и регулярно выпускают их новые версии. Об одной из них мы и расскажем в этом материале.

Как и схожий с ним по архитектуре троянец BackDoor.TeamViewer.49, этот бэкдор состоит из нескольких модулей. Однако если предшественник задействовал компоненты популярной программы удаленного администрирования компьютера TeamViewer только для того, чтобы загрузить в память атакуемой машины вредоносную библиотеку, то BackDoor.TeamViewerENT.1 использует их именно для шпионажа.

Основные вредоносные функции троянца сосредоточены в библиотеке avicap32.dll, а параметры его работы хранятся в зашифрованном конфигурационном блоке. Помимо специально созданной злоумышленниками вредоносной библиотеки троянец сохраняет на диск атакуемой машины необходимые для работы программы TeamViewer файлы и папки, а также несколько дополнительных файлов-модулей.

Если приложение в ОС Microsoft Windows требует для своей работы загрузку динамической библиотеки, система сначала пытается найти файл с таким именем в той же папке, откуда была запущена программа, и лишь потом — в системных папках Windows. Этим и воспользовались вирусописатели: приложению TeamViewer действительно необходима стандартная библиотека avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows. Но троянец сохраняет вредоносную библиотеку с таким же именем прямо в папку с легитимным исполняемым файлом TeamViewer, в результате чего система загружает в память троянскую библиотеку вместо настоящей.

После запуска BackDoor.TeamViewerENT.1 отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» и «только для чтения» своим собственным файлам и файлам этой программы, а затем перехватывает в памяти процесса TeamViewer вызовы функций этого приложения и ряда системных функций. Если для нормальной работы TeamViewer на атакованном компьютере не хватает каких-либо файлов или компонентов, троянец скачивает их со своего управляющего сервера. Помимо этого, если BackDoor.TeamViewerENT.1обнаруживает попытку запуска программ «Диспетчер задач Windows» и Process Explorer, он завершает работу процесса TeamViewer на зараженной машине. Подключившись к управляющему серверу, бэкдор может выполнять следующие команды злоумышленников:

перезагрузить ПК;
выключить ПК;
удалить TeamViewer;
перезапустить TeamViewer;
начать прослушивание звука с микрофона;
завершить прослушивание звука с микрофона;
определить наличие веб-камеры;
начать просмотр через веб-камеру;
завершить просмотр через веб-камеру;
скачать файл, сохранить его во временную папку и запустить;
обновить конфигурационный файл или файл бэкдора;
подключиться к указанному удаленному узлу, после чего запустить cmd.exe с перенаправлением ввода-вывода на удаленный хост.

Очевидно, что эти команды открывают перед злоумышленниками широкие возможности для шпионажа за пользователями инфицированных компьютеров, включая похищение конфиденциальной информации. В частности, известно, что с помощью этого троянца киберпреступники устанавливали на инфицированные компьютеры вредоносные программы семейств Trojan.Keylogger и Trojan.PWS.Stealer. Вирусные аналитики компании «Доктор Веб» провели исследование, в ходе которого удалось выяснить, что злоумышленники в разное время атакуют в основном жителей ряда определенных стран и регионов. Так, в июле с использованиемBackDoor.TeamViewerENT.1 киберпреступники атаковали жителей Европы, среди которых больше всего насчитывалось резидентов Великобритании и Испании, а в августе переключились на резидентов США.

Довольно много зараженных компьютеров расположено на территории России:

Специалисты компании «Доктор Веб» продолжают следить за развитием ситуации, а также призывают пользователей проявлять бдительность и вовремя обновлять вирусные базы. Троянец BackDoor.TeamViewerENT.1 успешно детектируется и удаляется Антивирусом Dr.Web, поэтому не представляет опасности для наших пользователей.

Подробнее о троянце

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи