Троян за Windows превръща компютъра в прокси за нападателите
Xakep #241. Хакване на игри
Троянският кон, наречен BackDoor.TeamViewer.49, беше открит в началото на май от Dr. Уеб и Yandex. За неговото разпространение се използва сложна многоетапна схема. Жертвите на BackDoor.TeamViewer.49 са потребители, чиито компютри са заразени от друг троянски кон, Trojan.MulDrop6.39120. Обикновено се разпространява със заразени инсталатори на Adobe Flash Player, които могат да бъдат намерени в неофициални източници.
Trojan.MulDrop6.39120 изтегля и инсталира TeamViewer без знанието на потребителя, популярно и напълно легално приложение за отдалечен компютърен контрол, споделяне на файлове и телеконференции. Има случаи, когато нападателите са използвали TeamViewer, за да получат контрол над машината на жертвата. BackDoor.TeamViewer.49 е необичаен с това, че създателите му намериха друга съмнителна цел за TeamViewer.
BackDoor.TeamViewer.49 се крие в модифицирана версия на библиотеката с динамични връзки avicap32.dll, която TeamViewer зарежда при стартиране. По време на инсталацията приложението се добавя към списъка за автоматично стартиране и се активира автоматично след всяко рестартиране на заразения компютър. След това зловредният софтуер премахва иконата на TeamViewer от областта за уведомяване на Windows, отваря защитена връзка към C&C сървъра и чака допълнителни инструкции.
Версията на троянския кон, анализирана от Dr. Web, действаше като прокси, но това не означава, че BackDoor.TeamViewer.49 вече не е способен на нищо. „Когато една система е заразена, престъпниците могат да направят почти всичко с нея“, цитира Softpedia говорител на разработчиците на TeamViewer. — В зависимост от сложността на злонамерения софтуер, той може да поеме контрола над целиясистема, прихваща информация, манипулира я и т.н.