Cu TeamViewer aplică nou backdoor periculoase
Există mai multe programe rău intenționate care utilizează pentru a obține acces neautorizat la computerele infectate instrument popular TeamViewer de administrare la distanță. Cu toate acestea, noul troian BackDoor.TeamViewer.49, descoperit în această lună de către experți antivirus companie „Doctor Web“, folosind acest program este perfect pentru alte scopuri.
BackDoor.TeamViewer.49 distribuit de infractorii cibernetici folosind un alt program rău intenționat - Trojan.MulDrop6.39120, care este deghizat ca o actualizare Adobe Flash Player. Executabilă Trojan.MulDrop6.39120 stabilește într-adevăr player-ul pe un computer care execută Windows, dar este invizibil pentru utilizator salvează pe disc TeamViewer app troian BackDoor.TeamViewer.49 și necesare pentru fișierul de configurare de operare.
Backdoor utilizează în activitatea sa diferite funcții interne proces TeamViewer. Când este rulat TeamViewer pune automat biblioteca avicap32.dll memoria calculatorului. Atacatorii, de asemenea, plasate în dosarul în care această aplicație păstrează Trojan.MulDrop6.39120, biblioteca troian cu același nume: în momentul pornirii TeamViewer se încarcă automat în memorie.
BackDoor.TeamViewer.49 se înregistrează la pornire, și apoi într-o buclă continuă, dar cu anumite intervale de timp, stabilește atributele „sistem“ și „ascunse“ pentru dosarul, care stochează fișierul executabil în sine, o bibliotecă rău intenționat și fișierul de configurare, raportul spune " Dr.Web“. În plus, în corpul unui alt backdoor stocate criptat Biblioteca - conține o matrice specială cu numele de servere de control din care troian poate primi diverse comenzi.
BackDoor.TeamViewer.49 conceput pentru a efectua două orientări de bază - o comandă pentru a stabili conexiunea cu nodul la distanță specificată, și pentru a redirecționa traficul de la serverul de administrare la nodul la distanță specificată prin intermediul computerului infectat. Acest algoritm permite infractorilor să acționeze pe ascuns posibil, deoarece conexiunea la nodurile de la distanță prin intermediul unui calculator infectat se realizează atât prin serverul proxy normal.
Consimțământul la prelucrarea datelor cu caracter personal