Методы обнаружения вирусов

15 августа 2016 года

Компания «Доктор Веб» уже рассказывала о троянце, использующем известную программу удаленного администрирования компов TeamViewer. ныне наши вирусные аналитики заприметили снова 1-го бэкдора, устанавливающего на атакуемый комп в целях шпионажа законные ингридиенты TeamViewer.

screen #drweb

Троянец, получивший название BackDoor.TeamViewerENT.1, тоже имеет самоназвание Spy-Agent (так именуется административный интерфейс его системы управления). преступники развивают этих троянцев с 2011 возраст столь точно систематически выпускают них новейшие версии. Об одной из них мы столь точно поведаем в данном материале.

Как столь точно похожий с ним по архитектуре троянец BackDoor.TeamViewer.49, данный бэкдор состоит из нескольких модулей. однако в случае коли предтеча использовал ингридиенты пользующейся популярностью программы удаленного администрирования персонального компьютера TeamViewer едва-лишь для того, для того, чтобы навалить в память атакуемой автомобиля вредоносную библиотеку, то BackDoor.TeamViewerENT.1 применяет них собственно для шпионажа.

Основные вредные опции троянца сконцентрированы в библиотеке avicap32.dll, а уж уж уж уж уж характеристики его работы хранятся в зашифрованном конфигурационном блоке. кроме специально сотворенной злодеями вредной библиотеки троянец предохраняет на диск атакуемой автомобиля нужные для работы программы TeamViewer файлы столь точно папки, а уж уж уж уж уж тоже капельку доборных файлов-модулей.

Если приложение в ОС Microsoft Windows требует для собственной работы загрузку динамической библиотеки, система в первую очередь старается накатиться файл с подобным именованием в той же папке, откуда была запущена программа, столь точно едва-лишь потом — в системных папках Windows. тем самым столь точно использовали вирусописатели: приложению TeamViewer впрямь нужна стандартная книгохранилище avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows. однако троянец предохраняет вредоносную библиотеку с подобным же именованием прямо-таки в папку с законным исполняемым файлом TeamViewer, в итоге чего система загружает в память троянскую библиотеку заместо настоящей.

После пуска BackDoor.TeamViewerENT.1 отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» столь точно «только для чтения» личным собственным файлам столь точно файлам этой программы, а уж уж уж уж уж потом перехватывает в памяти процесса TeamViewer вызовы функций этого приложения столь точно ряда системных функций. в случае коли для обычной работы TeamViewer на атакованном персональном компьютере закончить достаточно каких-то файлов либо компонентов, троянец скачивает них со собственного управляющего сервера. кроме этого, в случае коли BackDoor.TeamViewerENT.1 обнаруживает попытку пуска программ «Диспетчер проблем Windows» столь точно Process Explorer, он завершает работу процесса TeamViewer на зараженной машине. Подключившись к управляющему серверу, бэкдор множить скорпулезно надлежащие команды злоумышленников:

  • перезагрузить ПК;
  • выключить ПК;
  • удалить TeamViewer;
  • перезапустить TeamViewer;
  • начать прослушивание звука с микрофона;
  • завершить прослушивание звука с микрофона;
  • определить присутствие веб-камеры;
  • начать просмотр сквозь веб-камеру;
  • завершить просмотр сквозь веб-камеру;
  • скачать файл, сберечь его во временную папку столь точно запустить;
  • обновить конфигурационный файл либо файл бэкдора;
  • подключиться к указанному удаленному узлу, позднее чего пустить cmd.exe с перенаправлением ввода-вывода на удаленный хост.

Очевидно, точно эти команды раскрывают перед злодеями машистые полномочия для шпионажа за юзерами инфицированных компьютеров, охватывая кража секретной информации. В частности, известно, точно с поддержкой этого троянца киберпреступники ставили на инфицированные компы вредные программы семейств Trojan.Keylogger столь точно Trojan.PWS.Stealer. Вирусные аналитики фирмы «Доктор Веб» провели исследование, в ходе коего получилось выяснить, точно преступники в разнообразное час штурмуют в главном обитателей ряда конкретных государств столь точно регионов. Так, в июле с применением BackDoor.TeamViewerENT.1 киберпреступники штурмовали обитателей Европы, между коих все больше прости насчитывалось резидентов англии столь точно Испании, а уж уж уж уж уж в августе переключились на резидентов США.

screen #drweb

screen #drweb

Довольно максимум зараженных компов расположено на территории России:

screen #drweb

Специалисты фирмы «Доктор Веб» продолжают созерцать за развитием ситуации, а уж уж уж уж уж тоже призывают юзеров проявлять внимательность столь точно своевременно обновлять вирусные базы. Троянец BackDoor.TeamViewerENT.1 благополучно детектируется столь точно удаляется Антивирусом Dr.Web, в связи с этим закончить воображает угрозе для наших пользователей.

Подробнее о троянце

НОВОЕ НА САЙТЕ

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

Main menu


Sub menu