В сети обнаружен TeamViewer с бэкдором


Trend MicroИсследователи антивирусной компании Trend Micro зафиксировали в Сети распространение инсталлятора TeamViewer. Исследование показало, что в его состав входит бэкдор. Злоумышленниками была использована спам рассылка для установки устаревшей версии TeamViewer на компьютеры жертв в Италии. Возможно, именно таким образом пользовательские системы были взломаны.

Напомним, недавно было скомпрометировано большое количество рабочих станций, использующих TeamViewer для удаленного управления доступом. Предполагалось, что возможная причина взлома компьютеров стала утечка данных компании TeamViewer. Компания эти слухи опровергла. Тогда представители разработчика обвинили пострадавших пользователей в использовании небезопасных паролей.

В обнаруженной специалистами Trend Micro атаке использовался TeamViewer версии 6.0.17222.0 - версии, которая была выпущена еще в декабре 2010 года. В состав приложения входила подлинная версия инструмента для удаленного доступа, а также одноименная системная библиотека avicap32.dll. Данная библиотека детектируется TrendMicro как BKDR_TEAMBOT.DLL.

Приложение устанавливается в одну из директорий:

  • %APPDATA%\Div или %APPDATA%/Addins

на системе и может использоваться для получения полного контроля над компьютером жертвы. Входящая в состав поддельного дистрибутива TeamViewer библиотека, является бэкдором с возможностями кейлогера. А учитывая особенности ОС Windows при подключении динамических библиотек, установленная таким образом библиотека активировалась при запуске устаревшей версии TeamViewer.

В Trend Micro сообщили, что злоумышленники в течение месяца собирали логины и пароли пользователей на инфицированных системах.


Обновлено (16.06.2016 23:08)