BackDoor.TeamViewer.49是俄罗斯安全厂商Dr.Web发现的一个后门木马。Dr.Web指出,该木马会将TeamViewer应用程序安装到受感染计算机中,因此会将网络流量从犯罪分子手中中继到互联网其它服务器中,将该主机作为代理服务器。
Dr.Web和Yandex安全企业的研究员在5月初发现了该木马通过一个复杂的多阶段机制进行传播。
用户并非直接就受到该木马的攻击,而是首先经过一个名为Trojan.MulDrop6.39120的恶意软件释放器被感染。Dr.Web表示后者 跟一个Adobe Flash播放器的更新包一起在网络上传播。当用户安装了该恶意Flash播放器更新之后会得到一个合法的Flash版本,但同时也会得到 Trojan.MulDrop6木马,后者会偷偷将TeamViewer安装到受害者电脑上。
这种方法并不少见,但犯罪分子并没有将其用于等于受害者电脑并控制设备,而是用于其他目的。
犯罪分子将TeamViewer的avicap32.dll文件用包含BackDoor.TeamViewer木马的恶意版本替代。由于 TeamViewer会自动在OS内存中运行avicap32.dll,因此犯罪分子只需要将自动运行功能添加到TeamViewer中并确保该app的 图标隐藏于Windows通知区域之外就可。
做出所有必要的修改且TeamViewer运行之后,BackDoor.TeamViewer就会通过一个加密信道连接到犯罪分子命令和控制服务武 器上等待指令。Dr.Web指出,在所分析的版本中,木马的主要功能是作为网络代理器运行,拿走从命令和控制服务器中接收到的流量,并且将其中继到互联 网,从而隐藏犯罪分子的真实IP地址。
安全研究人员表示,真正的问题在于安装恶意软件程序。一旦系统被感染,犯罪分子实际上就能够利用这个特殊的系统为所欲为。根据恶意软件的复杂程度他,它能够捕获整个系统、抓取或控制信息等等。因此最重要的事情是,用户应该利用正确的反恶意软件方法尽量保护系统的安全。