Методы обнаружения вирусов

15 августа 2016 года

Компания «Доктор Веб» уже рассказывала о троянце, использующем известную программу удаленного администрирования компов TeamViewer. сейчас наши вирусные аналитики нашли опять единого бэкдора, устанавливающего на атакуемый персональный компьютер в целях шпионажа законные ингридиенты TeamViewer.

screen #drweb

Троянец, получивший название BackDoor.TeamViewerENT.1, тоже имеет самоназвание Spy-Agent (так именуется административный интерфейс его системы управления). преступники развивают этих троянцев с 2011 возраст скажем словно периодически выпускают них новенькие версии. Об одной из них мы скажем словно поведаем в конкретно в этом материале.

Как скажем словно аналогичный с ним по архитектуре троянец BackDoor.TeamViewer.49, настоящий бэкдор состоит из нескольких модулей. все-таки коли предтеча использовал ингридиенты известной программы удаленного администрирования персонального компьютера TeamViewer навряд для того, дабы навалить в память атакуемой автомобиля вредоносную библиотеку, то BackDoor.TeamViewerENT.1 пользуется них аккурат для шпионажа.

Основные вредные опции троянца сконцентрированы в библиотеке avicap32.dll, а уж уж уж уж уж характеристики его работы хранятся в зашифрованном конфигурационном блоке. кроме специально сотворенной злодеями вредной библиотеки троянец предохраняет на диск атакуемой автомобиля важные для работы программы TeamViewer файлы скажем словно папки, а уж уж уж уж уж тоже крошечку доборных файлов-модулей.

Если приложение в ОС Microsoft Windows требует для собственной работы загрузку динамической библиотеки, система в первую очередь старается налет файл с подобным именованием в той же папке, откуда была запущена программа, скажем словно навряд попозже — в системных папках Windows. тем самым скажем словно использовали вирусописатели: приложению TeamViewer воистину нужна стандартная книгохранилище avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows. однако троянец предохраняет вредоносную библиотеку с подобным же именованием какой-нибудь в папку с законным исполняемым файлом TeamViewer, в итоге чего система загружает в память троянскую библиотеку заместо настоящей.

После пуска BackDoor.TeamViewerENT.1 отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» скажем словно «только для чтения» личным собственным файлам скажем словно файлам этой программы, а уж уж уж уж уж попозже перехватывает в памяти процесса TeamViewer вызовы функций этого приложения скажем словно ряда системных функций. коли для обычной работы TeamViewer на атакованном персональном компьютере закончить делать достаточно каких-то файлов либо же компонентов, троянец скачивает них со собственного управляющего сервера. кроме этого, коли BackDoor.TeamViewerENT.1 обнаруживает попытку пуска программ «Диспетчер проблем Windows» скажем словно Process Explorer, он завершает работу процесса TeamViewer на зараженной машине. Подключившись к управляющему серверу, бэкдор помножать скорпулезно надлежащие команды злоумышленников:

  • перезагрузить ПК;
  • выключить ПК;
  • удалить TeamViewer;
  • перезапустить TeamViewer;
  • начать прослушивание звука с микрофона;
  • завершить прослушивание звука с микрофона;
  • определить присутствие веб-камеры;
  • начать просмотр сквозь веб-камеру;
  • завершить просмотр сквозь веб-камеру;
  • скачать файл, сберечь его во временную папку скажем словно запустить;
  • обновить конфигурационный файл либо же файл бэкдора;
  • подключиться к указанному удаленному узлу, следом чего забыть cmd.exe с перенаправлением ввода-вывода на удаленный хост.

Очевидно, словно эти команды раскрывают перед злодеями машистые способности для шпионажа за юзерами инфицированных компьютеров, подключая кража секретной информации. В частности, известно, словно с поддержкой этого троянца киберпреступники ставили на инфицированные компы вредные программы семейств Trojan.Keylogger скажем словно Trojan.PWS.Stealer. Вирусные аналитики фирмы «Доктор Веб» провели исследование, в ходе коего получилось выяснить, словно преступники в разнообразное час штурмуют в главном обитателей ряда конкретных государств скажем словно регионов. Так, в июле с пользованием BackDoor.TeamViewerENT.1 киберпреступники штурмовали обитателей Европы, посреди коих преимущественно итого насчитывалось резидентов англии скажем словно Испании, а уж уж уж уж уж в августе переключились на резидентов США.

screen #drweb

screen #drweb

Довольно куда зараженных компов расположено на территории России:

screen #drweb

Специалисты фирмы «Доктор Веб» продолжают наблюдать за развитием ситуации, а уж уж уж уж уж тоже призывают юзеров проявлять внимательность скажем словно впору обновлять вирусные базы. Троянец BackDoor.TeamViewerENT.1 удачно детектируется скажем словно удаляется Антивирусом Dr.Web, потому закончить делать воображает угрозе для наших пользователей.

Подробнее о троянце

НОВОЕ НА САЙТЕ

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

Main menu


Sub menu