BackDoor.TeamViewer.49是俄罗斯安全厂商Dr.Web发现的一个后门木马。Dr.Web指出,该木马会将TeamViewer应用程序安装到受感染计算机中,因此会将网络流量从犯罪分子手中中继到互联网其它服务器中,将该主机作为代理服务器。
Dr.Web和Yandex安全企业的研究员在5月初发现了该木马通过一个复杂的多阶段机制进行传播。
用户并非直接就受到该木马的攻击,而是首先经过一个名为Trojan.MulDrop6.39120的恶意软件释放器被感染。Dr.Web表示后者跟一个Adobe Flash播放器的更新包一起在网络上传播。当用户安装了该恶意Flash播放器更新之后会得到一个合法的Flash版本,但同时也会得到Trojan.MulDrop6木马,后者会偷偷将TeamViewer安装到受害者电脑上。
这种方法并不少见,但犯罪分子并没有将其用于等于受害者电脑并控制设备,而是用于其他目的。
犯罪分子将TeamViewer的avicap32.dll文件用包含BackDoor.TeamViewer木马的恶意版本替代。由于TeamViewer会自动在OS内存中运行avicap32.dll,因此犯罪分子只需要将自动运行功能添加到TeamViewer中并确保该app的图标隐藏于Windows通知区域之外就可。
做出所有必要的修改且TeamViewer运行之后,BackDoor.TeamViewer就会通过一个加密信道连接到犯罪分子命令和控制服务武器上等待指令。Dr.Web指出,在所分析的版本中,木马的主要功能是作为网络代理器运行,拿走从命令和控制服务器中接收到的流量,并且将其中继到互联网,从而隐藏犯罪分子的真实IP地址。
安全研究人员表示,真正的问题在于安装恶意软件程序。一旦系统被感染,犯罪分子实际上就能够利用这个特殊的系统为所欲为。根据恶意软件的复杂程度他,它能够捕获整个系统、抓取或控制信息等等。因此最重要的事情是,用户应该利用正确的反恶意软件方法尽量保护系统的安全。