Злоумышленники нашли новое применение утилите TeamViewer. Как правило, различное вредоносное ПО использует популярный инструмент TeamViewer для получения несанкционированного доступа к зараженному компьютеру, однако новый троян BackDoor.TeamViewer.49 эксплуатирует данную утилиту совершенно в других целях.
По словам исследователей компании «Доктор Веб», вредонос распространяется при помощи другого вредоносного ПО Trojan.MulDrop6.39120 (по классификации «Доктор Веб»), имитирующего обновление Adobe Flash Player. Троян устанавливает проигрыватель на компьютере жертвы, но при этом сохраняет на диск приложение TeamViewer, троян BackDoor.TeamViewer.49 и необходимый для его работы конфигурационный файл. В процессе инсталляции на экране отображается окно настоящего установщика Flash Player.
BackDoor.TeamViewer.49 использует в работе различные функции процесса TeamViewer. При запуске программа автоматически загружает в память компьютера библиотеку avicap32.dll, чем и воспользовались преступники в своих целях. Они поместили в папку, в которую троян Trojan.MulDrop6.39120 загружает TeamViewer, вредоносную библиотеку с аналогичным названием. В момент активации приложения на компьютер загружается и библиотека.
После запуска программы BackDoor.TeamViewer.49 удаляет ее значок из области уведомлений Windows и деактивирует функцию уведомления об ошибках. Вредонос регистрируется в автозагрузке, а затем устанавливает атрибуты «системы» и «скрытый» для папки, где хранятся исполняемый файл, конфигурационный файл и вредоносная библиотека. В случае, если данные атрибуты установить не удалось, троян удаляет из системного реестра все ключи, относящиеся к TeamViewer.
Тело вредоноса содержит зашифрованную библиотеку со списком имен C&C-серверов, используемых для отправки инструкций трояну. Обмен информацией между C&C-сервером и вредоносным ПО осуществляется в зашифрованном виде.
Троян способен выполнять несколько команд, в том числе на установку соединения с указанным узлом и на перенаправление трафика с C&C-сервера на удаленный узел через зараженный компьютер. Таким образом преступники обеспечивают свою анонимность в Сети, используя устройство жертвы в качестве прокси.