Компания «Доктор Веб» о троянце, использующем известную программу удаленного администрирования компов TeamViewer. сейчас наши вирусные аналитики заприметили еще 1-го бэкдора, устанавливающего на атакуемый персональный компьютер в целях шпионажа законные составляющие TeamViewer.
Троянец, получивший название , еще имеет самоназвание Spy-Agent (так именуется административный интерфейс его системы управления). преступники развивают этих троянцев с 2011 лета настолько будто постоянно выпускают них новейшие версии. Об одной из них мы настолько будто поведаем в конкретно в этом материале.
Как настолько будто сродный с ним по архитектуре троянец , данный бэкдор состоит из нескольких модулей. однако коли предтеча использовал составляющие пользующейся популярностью программы удаленного администрирования персонального компьютера TeamViewer всего-навсего для того, для того, чтобы нагрузить в память атакуемой автомобиля вредоносную библиотеку, то пользуется них аккурат для шпионажа.
Основные вредные опции троянца сконцентрированы в библиотеке avicap32.dll, а уж уж уж уж уж характеристики его работы хранятся в зашифрованном конфигурационном блоке. кроме специально сотворенной злодеями вредной библиотеки троянец предохраняет на диск атакуемой автомобиля важные для работы программы TeamViewer файлы настолько будто папки, а уж уж уж уж уж еще чуть-чуть доборных файлов-модулей.
Если приложение в ОС Microsoft Windows требует для собственной работы загрузку динамической библиотеки, система сперва-наперво старается обрушиться файл с подобным именованием в той же папке, откуда была запущена программа, настолько будто всего-навсего попозже — в системных папках Windows. данным настолько будто пользовались вирусописатели: приложению TeamViewer взаправду нужна стандартная книгохранилище avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows. однако троянец предохраняет вредоносную библиотеку с подобным же именованием какой-нибудь в папку с законным исполняемым файлом TeamViewer, в итоге чего система загружает в память троянскую библиотеку заместо настоящей.
После пуска отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» настолько будто «только для чтения» личным собственным файлам настолько будто файлам этой программы, а уж уж уж уж уж потом перехватывает в памяти процесса TeamViewer вызовы функций этого приложения настолько будто ряда системных функций. коли для обычной работы TeamViewer на атакованном персональном компьютере закончить хватит каких-то файлов или же же компонентов, троянец скачивает них со собственного управляющего сервера. кроме этого, коли обнаруживает попытку пуска программ «Диспетчер проблем Windows» настолько будто Process Explorer, он завершает работу процесса TeamViewer на зараженной машине. Подключившись к управляющему серверу, бэкдор множить скорпулезно исполнять надлежащие команды злоумышленников:
перезагрузить ПК;
выключить ПК;
удалить TeamViewer;
перезапустить TeamViewer;
начать прослушивание звука с микрофона;
завершить прослушивание звука с микрофона;
определить наличность веб-камеры;
начать просмотр сквозь веб-камеру;
завершить просмотр сквозь веб-камеру;
скачать файл, сберечь его во временную папку настолько будто запустить;
обновить конфигурационный файл или же же файл бэкдора;
подключиться к указанному удаленному узлу, потом чего забыть cmd.exe с перенаправлением ввода-вывода на удаленный хост.
Очевидно, будто эти команды раскрывают перед злодеями машистые полномочия для шпионажа за юзерами инфицированных компьютеров, охватывая кража секретной информации. В частности, известно, будто с поддержкой этого троянца киберпреступники ставили на инфицированные компы вредные программы семейств Trojan.Keylogger настолько будто Trojan.PWS.Stealer. Вирусные аналитики корпорации «Доктор Веб» провели исследование, в ходе коего получилось выяснить, будто преступники в разнообразное пора штурмуют в главном обитателей ряда конкретных государств настолько будто регионов. Так, в июле с внедрением киберпреступники штурмовали обитателей Европы, между коих более токмо насчитывалось резидентов англии настолько будто Испании, а уж уж уж уж уж в августе переключились на резидентов США.
Довольно гораздо зараженных компов расположено на территории России:
Специалисты корпорации «Доктор Веб» продолжают созерцать за развитием ситуации, а уж уж уж уж уж еще призывают юзеров проявлять внимательность настолько будто впору обновлять вирусные базы. Троянец удачно детектируется настолько будто удаляется Антивирусом Dr.Web, потому закончить воображает угрозы для наших пользователей.
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости