Троян для Windows перетворює ПК на проксі для зловмисників

Xakep #241. Злом ігор

Трояна, який отримав назву BackDoor.TeamViewer.49, був виявлений на початку травня фахівцями Dr. Web та «Яндекса». Для його поширення застосовується хитромудра багатоступінчаста схема. Жертвами BackDoor.TeamViewer.49 стають користувачі, комп'ютери яких уражені іншим трояном — Trojan.MulDrop6.39120. Зазвичай він поширюється із зараженими інсталяторами Adobe Flash Player, які можна зустріти у неофіційних джерелах.

Trojan.MulDrop6.39120 без відома користувача завантажує та встановлює TeamViewer - популярний і абсолютно легальний додаток, який служить для віддаленого керування комп'ютером, обміну файлами та проведення телеконференцій. Відомі випадки, коли зловмисники застосовували TeamViewer, щоб отримати контроль над машиною жертви. BackDoor.TeamViewer.49 незвичайний тим, що його автори знайшли для TeamViewer інше сумнівне призначення.

BackDoor.TeamViewer.49 ховається у модифікованій версії динамічної бібліотеки avicap32.dll, яку TeamViewer завантажує під час запуску. Під час встановлення програма додає себе до списку автозапуску і автоматично вмикається після кожного перезавантаження зараженого комп'ютера. Після цього шкідлива програма прибирає іконку TeamViewer з області сповіщень Windows, відкриває захищене з'єднання з командним сервером і чекає на подальші вказівки.

Та версія трояна, яку аналізували спеціалісти Dr. Web виконувала роль проксі, але це не означає, що BackDoor.TeamViewer.49 більше ні на що не здатний. Коли система заражена, злочинці можуть робити з нею практично все, що завгодно, - цитує видання Softpedia слова представника розробників TeamViewer. — Залежно від складності шкідливого софту він може взяти під контроль всюсистему, перехоплювати інформацію, маніпулювати їй тощо».

---