15 agosto 2016

Doctor Web ha già pubblicato una notizia su un trojan che utilizza il popolare programma di amministrazione di computer remota TeamViewer. Questa volta i nostri analisti dei virus hanno scoperto un altro backdoor che installa sul computer attaccato componenti legali di TeamViewer a fini di spionaggio.

Il trojan, denominato BackDoor.TeamViewerENT.1, ha anche un nome intrinseco Spy-Agent (così si chiama l'interfaccia di amministrazione del suo sistema di gestione). I malintenzionati sviluppano questi trojan a partire dal 2011 e ne rilasciano con regolarità nuove versioni. Raccontiamo in questo materiale di una tale versione.

Come il trojan BackDoor.TeamViewer.49 che ha un'architettura simile, questo backdoor si compone di più moduli. Se la versione precedente impiegava componenti del popolare programma di amministrazione di computer remota TeamViewer soltanto per caricare una libreria malevola nella memoria della macchina attaccata, il nuovo BackDoor.TeamViewerENT.1 utilizza tali componenti proprio per spionaggio.

Le principali funzionalità malevole del trojan sono concentrate nella libreria avicap32.dll; i parametri del suo funzionamento sono conservati in un blocco di configurazione cifrato. Oltre alla libreria malevola appositamente creata dai malfattori, il trojan salva sul disco della macchina attaccata file e cartelle necessarie per il funzionamento del programma TeamViewer e anche alcuni file-moduli addizionali.

Se in Microsoft Windows un'applicazione richiede per il suo funzionamento il caricamento di una libreria dinamica, il sistema prima prova a trovare un file con tale nome nella stessa cartella da cui il programma è stato avviato, e solo poi lo cerca nelle cartelle di sistema di Windows. Gli autori dei virus hanno approfittato di questa particolarità: l'applicazione TeamViewer davvero ha bisogno della libreria standard avicap32.dll che di default si conserva in una delle directory di sistema di Windows. Però il trojan salva una libreria malevola con lo stesso nome direttamente nella cartella con il file eseguibile legittimo di TeamViewer, e come risultato il sistema carica nella memoria la libreria trojan invece di quella originale.

Dopo l'avvio BackDoor.TeamViewerENT.1 disattiva la visualizzazione di errori per il processo TeamViewer, imposta gli attributi "di sistema", "nascosto" e "sola lettura" per i suoi file e i file di questo programma e quindi intercetta nella memoria del processo TeamViewer le invocazioni delle funzioni di questo programma e di alcune funzioni di sistema. Se per il normale funzionamento di TeamViewer sul computer attaccato mancano alcuni file o componenti, il trojan li scarica dal suo server di gestione. Inoltre, se BackDoor.TeamViewerENT.1 rileva un tentativo di avvio dei programmi Gestione attività Windows e Process Explorer, termina il processo TeamViewer sulla macchina infetta. Una volta connesso al server di gestione, il backdoor può eseguire i seguenti comandi dei malintenzionati:

• riavviare il PC;
• spegnere il PC;
• eliminare TeamViewer;
• riavviare TeamViewer;
• iniziare ad ascoltare il suono da microfono;
• finire di ascoltare il suono da microfono;
• determinare la disponibilità di webcam;
• iniziare a visualizzare l'ambiente tramite webcam;
• finire di visualizzare l'ambiente tramite webcam;
• scaricare un file, salvarlo nella cartella temporanea e lanciarlo;
• aggiornare il file di configurazione o il file del backdoor;
• connettersi a un host remoto indicato, dopodiché avviare cmd.exe con il reindirizzamento di IO sull'host remoto.

È evidente che questi comandi aprono ai malfattori ampie possibilità per spiare gli utenti dei computer infettati, tra cui anche la possibilità di rubare informazioni confidenziali. In particolare, è noto che tramite questo trojan i criminali informatici installano sui computer compromessi i programmi malevoli delle specie Trojan.Keylogger e Trojan.PWS.Stealer. Gli analisti dei virus Doctor Web hanno condotto uno studio che ha mostrato che gli hacker in momenti diversi attaccano principalmente gli abitanti di una serie di determinati paesi e regioni. Così, a luglio con l'utilizzo di BackDoor.TeamViewerENT.1 i criminali informatici attaccavano gli utenti situati in Europa, maggiormente in Gran Bretagna e Spagna, mentre ad agosto sotto attacco erano gli abitanti degli Stati Uniti.

Parecchi computer infetti sono situati sul territorio di Russia:

Gli specialisti Doctor Web continuano a seguire gli sviluppi della situazione, e inoltre esortano gli utenti ad essere vigilanti e ad aggiornare tempestivamente i database dei virus. Il trojan BackDoor.TeamViewerENT.1 viene rilevato e rimosso con successo da Antivirus Dr.Web e così non rappresenta pericolo per i nostri utenti.

Informazioni sul trojan