Методы обнаружения вирусов

15 августа 2016 года

Компания «Доктор Веб» уже рассказывала о троянце, использующем известную программу удаленного администрирования компов TeamViewer. сейчас наши вирусные аналитики нашли снова единого бэкдора, устанавливающего на атакуемый комп в целях шпионажа законные ингридиенты TeamViewer.

screen #drweb

Троянец, получивший название BackDoor.TeamViewerENT.1, тоже имеет самоназвание Spy-Agent (так именуется административный интерфейс его системы управления). преступники развивают этих троянцев с 2011 лета эдак как периодически выпускают них новейшие версии. Об одной из них мы эдак как поведаем в данном материале.

Как эдак как сходственный с ним по архитектуре троянец BackDoor.TeamViewer.49, данный бэкдор состоит из нескольких модулей. однако в случае в случае в случае в случае если предтеча использовал ингридиенты известной программы удаленного администрирования персонального компьютера TeamViewer исключительно для того, для того, чтоб завалить в память атакуемой автомобиля вредоносную библиотеку, то BackDoor.TeamViewerENT.1 применяет них впору для шпионажа.

Основные вредные опции троянца сконцентрированы в библиотеке avicap32.dll, а уж уж уж уж уж характеристики его работы хранятся в зашифрованном конфигурационном блоке. кроме специально сотворенной злодеями вредной библиотеки троянец предохраняет на диск атакуемой автомобиля важные для работы программы TeamViewer файлы эдак как папки, а уж уж уж уж уж тоже немножко доборных файлов-модулей.

Если приложение в ОС Microsoft Windows требует для собственной работы загрузку динамической библиотеки, система попервоначалу старается заметить файл с подобным именованием в той же папке, откуда была запущена программа, эдак как едва-лишь впоследствии — в системных папках Windows. тем самым эдак как использовали вирусописатели: приложению TeamViewer на самом деле нужна стандартная книгохранилище avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows. однако троянец предохраняет вредоносную библиотеку с подобным же именованием прямиком в папку с законным исполняемым файлом TeamViewer, в итоге чего система загружает в память троянскую библиотеку заместо настоящей.

После пуска BackDoor.TeamViewerENT.1 отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» эдак как «только для чтения» личным собственным файлам эдак как файлам этой программы, а уж уж уж уж уж потом перехватывает в памяти процесса TeamViewer вызовы функций этого приложения эдак как ряда системных функций. в случае в случае в случае в случае если для обычной работы TeamViewer на атакованном персональном компьютере закончить хватает каких-то файлов либо же компонентов, троянец скачивает них со собственного управляющего сервера. кроме этого, в случае в случае в случае в случае если BackDoor.TeamViewerENT.1 обнаруживает попытку пуска программ «Диспетчер проблем Windows» эдак как Process Explorer, он завершает работу процесса TeamViewer на зараженной машине. Подключившись к управляющему серверу, бэкдор множить исполнять последующие команды злоумышленников:

  • перезагрузить ПК;
  • выключить ПК;
  • удалить TeamViewer;
  • перезапустить TeamViewer;
  • начать прослушивание звука с микрофона;
  • завершить прослушивание звука с микрофона;
  • определить наличность веб-камеры;
  • начать просмотр чрез веб-камеру;
  • завершить просмотр чрез веб-камеру;
  • скачать файл, сберечь его во временную папку эдак как запустить;
  • обновить конфигурационный файл либо же файл бэкдора;
  • подключиться к указанному удаленному узлу, там чего забросить cmd.exe с перенаправлением ввода-вывода на удаленный хост.

Очевидно, как эти команды раскрывают перед злодеями машистые способности для шпионажа за юзерами инфицированных компьютеров, охватывая кража секретной информации. В частности, известно, как с поддержкой этого троянца киберпреступники ставили на инфицированные компы вредные программы семейств Trojan.Keylogger эдак как Trojan.PWS.Stealer. Вирусные аналитики корпорации «Доктор Веб» провели исследование, в ходе коего получилось выяснить, как преступники в разнообразное пора штурмуют в главном обитателей ряда конкретных государств эдак как регионов. Так, в июле с применением BackDoor.TeamViewerENT.1 киберпреступники штурмовали обитателей Европы, между коих более пока насчитывалось резидентов англии эдак как Испании, а уж уж уж уж уж в августе переключились на резидентов США.

screen #drweb

screen #drweb

Довольно обильно зараженных компов расположено на территории России:

screen #drweb

Специалисты корпорации «Доктор Веб» продолжают наблюдать за развитием ситуации, а уж уж уж уж уж тоже призывают юзеров проявлять внимательность эдак как своевременно обновлять вирусные базы. Троянец BackDoor.TeamViewerENT.1 удачно детектируется эдак как удаляется Антивирусом Dr.Web, потому закончить воображает угрозе для наших пользователей.

Подробнее о троянце

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web