BackDoor.TeamViewer.49是俄罗斯安全厂商Dr.Web发现的一个后门木马。Dr.Web指出，该木马会将TeamViewer应用程序安装到受感染计算机中，因此会将网络流量从犯罪分子手中中继到互联网其它服务器中，将该主机作为代理服务器。

Dr.Web和Yandex安全企业的研究员在5月初发现了该木马通过一个复杂的多阶段机制进行传播。

用户并非直接就受到该木马的攻击，而是首先经过一个名为Trojan.MulDrop6.39120的恶意软件释放器被感染。Dr.Web表示后者 跟一个Adobe Flash播放器的更新包一起在网络上传播。当用户安装了该恶意Flash播放器更新之后会得到一个合法的Flash版本，但同时也会得到 Trojan.MulDrop6木马，后者会偷偷将TeamViewer安装到受害者电脑上。

这种方法并不少见，但犯罪分子并没有将其用于等于受害者电脑并控制设备，而是用于其他目的。

犯罪分子将TeamViewer的avicap32.dll文件用包含BackDoor.TeamViewer木马的恶意版本替代。由于 TeamViewer会自动在OS内存中运行avicap32.dll，因此犯罪分子只需要将自动运行功能添加到TeamViewer中并确保该app的 图标隐藏于Windows通知区域之外就可。

做出所有必要的修改且TeamViewer运行之后，BackDoor.TeamViewer就会通过一个加密信道连接到犯罪分子命令和控制服务武 器上等待指令。Dr.Web指出，在所分析的版本中，木马的主要功能是作为网络代理器运行，拿走从命令和控制服务器中接收到的流量，并且将其中继到互联 网，从而隐藏犯罪分子的真实IP地址。

安全研究人员表示，真正的问题在于安装恶意软件程序。一旦系统被感染，犯罪分子实际上就能够利用这个特殊的系统为所欲为。根据恶意软件的复杂程度他，它能够捕获整个系统、抓取或控制信息等等。因此最重要的事情是，用户应该利用正确的反恶意软件方法尽量保护系统的安全。