VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Trojanisches PferdNutzer, die TeamViewer verwenden, sollten zukünftig ganz besondere Vorsicht walten lassen. Denn die Sicherheitsanalysten von Doctor Web haben vor kurzem einen neuen Trojaner entdeckt, der sich über die Fernwartungssoftware verbreitet. 

BackDoor.TeamViewer.49 tarnt sich dabei als Update für Adobe Flash Player und installiert gleichzeitig einen weiteren Trojaner mit der Bezeichnung Trojan.MulDrop6.39120. Im Fokus stehen dabei Endgeräte, die unter dem Betriebssystem Windows laufen.

Sobald die Installationsdatei ausgeführt wird, öffnet sich ein täuschend echt aussehendes Fenster mit dem gewohnten Layout von Adobe, während sich im Hintergrund die Bibliothek avicap32.dll in den Hauptspeicher des Rechners schreibt. Sobald der TeamViewer gestartet wird, aktiviert sich automatisch auch der Trojaner: Er löscht dann die Desktop-Verknüpfung aus dem Systemtray von Windows und unterdrückt gleichzeitig etwaige Fehlermeldungen. Daneben unterbindet er ein wiederholtes Starten des Programms auf dem infizierten PC.

Mit Dr.Web optimal geschützt

BackDoor.TeamViewer.49 schreibt sich in das Autostart-Menü und versucht, für sein Installationsverzeichnis die Attribute „System“ und „verdeckt“ zu setzen. Sollte aber keines der beiden Attribute gesetzt werden können, so löscht die Malware alle Schlüssel aus der Registry, die zu TeamViewer gehören.

Im verschlüsselten System-Verzeichnis auf der Festplatte befinden sich die ausführbare Systemdatei (*.exe), die Konfigurationsdatei und eine Bibliothek. In der Konfigurationsdatei werden alle Informationen abgelegt, die die Malware für ihre reibungslose Funktionalität benötigt. Die Bibliothek dient als Speicherort für die Namen von Verwaltungsservern, von denen der Trojaner verschiedene Befehle erhalten kann. Der komplette Datenaustausch mit dem Verwaltungsserver erfolgt dabei stets verschlüsselt.

Bisher nutzen Trojaner TeamViewer nur dazu, um einen unerlaubten Zugang zum infizierten Rechner zu erhalten. BackDoor.TeamViewer.49 ist in der Lage, verschiedene Befehle auszuführen, wie z.B.:

  • Disconnect – willkürlicher Abbruch der Verbindung;
  • Idle – Aufrechterhalten der Verbindung, auch gegen den Willen des Benutzers;
  • Updips – selbständiges Update der auth_ip Liste;
  • Connect – Kontaktaufnahme mit dem Verwaltungsserver.

Das bedeutet, dass der Trojaner beispielsweise in der Lage ist, eine Verbindung mit einem Remote-Server (inkl. Autorisierung) aufzubauen. Danach leitet er den Traffic über den infizierten Rechner an eine vordefinierte Adresse weiter. Dadurch können Cyber-Kriminelle ihre Spuren verwischen und eine Verbindung zu Remote-Befehlszentren über einen infizierten PC als Proxy-Server herstellen.

Anwender, die Doctor Web Sicherheitsprodukte nutzen, sind optimal vor Trojan.MulDrop6.39120 und BackDoor.TeamViewer.49 geschützt.

Doctor Web dankt dem Suchmaschinenanbieter Yandex für die Bereitstellung des Schädlingsmusters.

Weitere Informationen zum Trojaner gibt es hier.

GRID LIST
Tb W190 H80 Crop Int E6b1eed76833e40b6dff0a1070b0694f

Cyber-Kriminelle nutzen Fake-App für Malware

Im vergangenen Monat haben Cyber-Kriminelle mithilfe einer gefälschten App des…
Tb W190 H80 Crop Int Db461ec563234e57f2cba9109df3ec5f

Kryptowährungen im Überblick

Seit 2010 ist der Vormarsch der sogenannten Kryptowährungen nicht mehr aufzuhalten. Dabei…
Ransomware Lösegeld

Ransomware: Warnung vor Lösegeldzahlung

Cyberkriminelle „kidnappen“ Daten und Computer von Organisationen und Einzelpersonen. Der…
Tb W190 H80 Crop Int C47c64413dabc5f83c8af1202d07c3d8

Vernetzung bedeutet höhere Gefährdung für KRITIS-Betreiber

Digitalisierung und die zunehmende Vernetzung aller Versorgungsbereiche stellen den…
Urlaub

Cyber-Security-Checkliste: Tipps für den Sommerurlaub

Der Sommer steht vor der Tür und mit ihm werden für viele die Urlaubspläne konkret. Dabei…
High Voltage Sign

Cyberattacken auf kritische Infrastrukturen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt aus aktuellem Anlass…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security