为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

Windows木马通过TeamViewer感染用户系统

2016-5-30 11:39| 投稿: lofor

摘要: BackDoor.TeamViewer.49是俄罗斯安全厂商Dr.Web发现的一个后门木马。Dr.Web指出,该木马会将TeamViewer应用程序安装到受感染计算机中,因此会将网络流量从犯罪分子手中中继到互联网其它服务器中,将该主机作为代理服 ...

BackDoor.TeamViewer.49是俄罗斯安全厂商Dr.Web发现的一个后门木马。Dr.Web指出,该木马会将TeamViewer应用程序安装到受感染计算机中,因此会将网络流量从犯罪分子手中中继到互联网其它服务器中,将该主机作为代理服务器。

Dr.Web和Yandex安全企业的研究员在5月初发现了该木马通过一个复杂的多阶段机制进行传播。

用户并非直接就受到该木马的攻击,而是首先经过一个名为Trojan.MulDrop6.39120的恶意软件释放器被感染。Dr.Web表示后者 跟一个Adobe Flash播放器的更新包一起在网络上传播。当用户安装了该恶意Flash播放器更新之后会得到一个合法的Flash版本,但同时也会得到 Trojan.MulDrop6木马,后者会偷偷将TeamViewer安装到受害者电脑上。

这种方法并不少见,但犯罪分子并没有将其用于等于受害者电脑并控制设备,而是用于其他目的。

犯罪分子将TeamViewer的avicap32.dll文件用包含BackDoor.TeamViewer木马的恶意版本替代。由于 TeamViewer会自动在OS内存中运行avicap32.dll,因此犯罪分子只需要将自动运行功能添加到TeamViewer中并确保该app的 图标隐藏于Windows通知区域之外就可。

做出所有必要的修改且TeamViewer运行之后,BackDoor.TeamViewer就会通过一个加密信道连接到犯罪分子命令和控制服务武 器上等待指令。Dr.Web指出,在所分析的版本中,木马的主要功能是作为网络代理器运行,拿走从命令和控制服务器中接收到的流量,并且将其中继到互联 网,从而隐藏犯罪分子的真实IP地址。

安全研究人员表示,真正的问题在于安装恶意软件程序。一旦系统被感染,犯罪分子实际上就能够利用这个特殊的系统为所欲为。根据恶意软件的复杂程度他,它能够捕获整个系统、抓取或控制信息等等。因此最重要的事情是,用户应该利用正确的反恶意软件方法尽量保护系统的安全。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部