Компания «Доктор Веб» обнаружила бэкдор, устанавливающий на атакуемый компьютер в целях шпионажа легальные компоненты TeamViewer. Троянец, получивший наименование BackDoor.TeamViewerENT.1, имеет самоназвание Spy-Agent (так называется административный интерфейс его системы управления).
Злоумышленники развивают этих троянцев с 2011 года и регулярно выпускают их новые версии. Об одной из них мы и расскажем в этом материале.
Как и схожий с ним по архитектуре троянец BackDoor.TeamViewer.49, этот бэкдор состоит из нескольких модулей. Однако если предшественник задействовал компоненты популярной программы удаленного администрирования компьютера TeamViewer только для того, чтобы загрузить в память атакуемой машины вредоносную библиотеку, то BackDoor.TeamViewerENT.1 использует их именно для шпионажа,
Основные вредоносные функции троянца сосредоточены в библиотеке avicap32.dll, а параметры его работы хранятся в зашифрованном конфигурационном блоке. Помимо специально созданной злоумышленниками вредоносной библиотеки троянец сохраняет на диск атакуемой машины необходимые для работы программы TeamViewer файлы и папки, а также несколько дополнительных файлов-модулей.
Если приложение в ОС Microsoft Windows требует для своей работы загрузку динамической библиотеки, система сначала пытается найти файл с таким именем в той же папке, откуда была запущена программа, и лишь потом — в системных папках Windows. Этим и воспользовались вирусописатели: приложению TeamViewer действительно необходима стандартная библиотека avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows. Но троянец сохраняет вредоносную библиотеку с таким же именем прямо в папку с легитимным исполняемым файлом TeamViewer, в результате чего система загружает в память троянскую библиотеку вместо настоящей.
После запуска BackDoor.TeamViewerENT.1 отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» и «только для чтения» своим собственным файлам и файлам этой программы, а затем перехватывает в памяти процесса TeamViewer вызовы функций этого приложения и ряда системных функций. Если для нормальной работы TeamViewer на атакованном компьютере не хватает каких-либо файлов или компонентов, троянец скачивает их со своего управляющего сервера. Помимо этого, если BackDoor.TeamViewerENT.1обнаруживает попытку запуска программ «Диспетчер задач Windows» и Process Explorer, он завершает работу процесса TeamViewer на зараженной машине. Подключившись к управляющему серверу, бэкдор может выполнять следующие команды злоумышленников:
перезагрузить ПК;
выключить ПК;
удалить TeamViewer;
перезапустить TeamViewer;
начать прослушивание звука с микрофона;
завершить прослушивание звука с микрофона;
определить наличие веб-камеры;
начать просмотр через веб-камеру;
завершить просмотр через веб-камеру;
скачать файл, сохранить его во временную папку и запустить;
обновить конфигурационный файл или файл бэкдора;
подключиться к указанному удаленному узлу, после чего запустить cmd.exe с перенаправлением ввода-вывода на удаленный хост.
Очевидно, что эти команды открывают перед злоумышленниками широкие возможности для шпионажа за пользователями инфицированных компьютеров, включая похищение конфиденциальной информации. В частности, известно, что с помощью этого троянца киберпреступники устанавливали на инфицированные компьютеры вредоносные программы семейств Trojan.Keylogger и Trojan.PWS.Stealer. Вирусные аналитики компании «Доктор Веб» провели исследование, в ходе которого удалось выяснить, что злоумышленники в разное время атакуют в основном жителей ряда определенных стран и регионов. Так, в июле с использованием BackDoor.TeamViewerENT.1 киберпреступники атаковали жителей Европы, среди которых больше всего насчитывалось резидентов Великобритании и Испании, а в августе переключились на резидентов США.
Christmas.exe в Диспетчере задач Windows 11 напугал многих пользователей своим поведением: процесс выводит на половину экрана баннер с рождественским венком. Как оказалось, это не вредоносная программа, а промоакция от тайваньского техногиганта ASUS.
Само собой, странно наблюдать огромный баннер сразу после включения компьютера, поэтому реакцию пользователей на навязчивую реализацию акции ASUS вполне можно понять.
Помимо основного баннера, есть ещё ряд моментов, демонстрирующих совсем уж неприличное поведение процесса christmas.exe: иногда он выводит всплывающие окна при запуске игр, а в некоторых случаях — приводит к сбоям в работе приложений.
Например, на одном из скриншотов, который приводит издание Windows Latest, видно, что баннер закрывает по меньшей мере треть экрана.
На площадке Reddit в этой ветке можно найти мнения пользователей и почитать разное в адрес промоакции ASUS. Как выяснили любители Windows, навязчивая активность связана с двумя исполняемыми файлами:
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
