Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a las noticias

Un troyano backdoor usa TeamViewer de manera innovadora

25 de mayo de 2016

Los expertos en seguridad informática conocen varios tipos de programas nocivos que usan la utilidad popular de administración remota TeamViewer para obtener acceso no sancionado al equipo infectado. El nuevo troyano BackDoor.TeamViewer.49 detectado por los analistas de virus de la empresa Doctor Web en mayo de 2016 es una excepción de esta regla porque sus objetivos de uso de este programa son distintos.

Para difundir el troyano BackDoor.TeamViewer.49 los ciberdelincuentes usan otro programa nocivoTrojan.MulDrop6.39120 realizado como actualización falsificada de Adobe Flash Player. El archivo ejecutable Trojan.MulDrop6.39120 en realidad instala el reproductor en el equipo que funciona bajo la administración de Windows, pero así mismo, sin que el usuario lo sepa, guarda en la unidad la aplicación TeamViewer, el troyano BackDoor.TeamViewer.49 y el archivo de configuración necesario para el funcionamiento del mismo. Durante la instalación en la pantalla se visualiza la ventana del instalador real de Flash Player.

screen BackDoor.TeamViewer.49 #drweb

Normalmente varios troyanos usan TeamViewer para organizar acceso no sancionado al equipo infectado. Pero el backdoor BackDoor.TeamViewer.49 necesita la utilidad TeamViewer por otra causa: usa activamente en su trabajo varias funciones internas del proceso de este programa. Además, al iniciarse, TeamViewer automáticamente coloca en la memoria del equipo la biblioteca avicap32.dll, lo que aprovecharon los malintencionados: han colocado en la carpeta donde Trojan.MulDrop6.39120 guarda esta aplicación una biblioteca de troyanos con el mismo nombre. En el momento de inicio, TeamViewer la carga automáticamente en la memoria.

Una vez iniciado el programa TeamViewer, BackDoor.TeamViewer.49 borra su icono del área de notificación de Windows y desactiva en el sistema la función de visualización de mensajes sobre errores. Así mismo, el troyano usa un mecanismo especial destinado para evitar volver a iniciarlo en el equipo infectado. Las opciones necesarias para el funcionamiento de BackDoor.TeamViewer.49 se guardan en el archivo de configuración cifrado.

BackDoor.TeamViewer.49 registra a sí mismo en el autoinicio, y luego en un ciclo ininterrumpido, pero con intervalos determinados, establece los atributos «de sistema» y «oculto» para su carpeta donde se guarda el archivo ejecutable mismo, la biblioteca nociva y el archivo de configuración. Si en algún momento no fue posible establecer estos atributos, el programa nocivo empieza a borrar del registro del sistema todas las claves que tienen que ver con el programa TeamViewer.

En el cuerpo del troyano se guarda otra biblioteca cifrada que realiza las funciones nocivas de BackDoor.TeamViewer.49. Contiene un conjunto creado de manera específica con los nombres de servidores administrativos de los cuales el troyano puede recibir varios comandos. Toda la información que el backdoor intercambia con el servidor administrativo se cifra.

El troyano puede ejecutar varias directivas administrativas, pero las dos básicas son los comandos para establecer conexión al abonado indicado (incluida la posibilidad de autorización en el mismo) y la redirección del tráfico del servidor administrativo al abonado indicado a través del equipo infectado. Esto les permite a los malintencionados asegurar su propio anonimato en Internet al conectarse a los abonados remotos a través del equipo infectado como si fuera un servidor proxy ordinario.

Los programas nocivos Trojan.MulDrop6.39120 y BackDoor.TeamViewer.49 se detectan y se borran por el Antivirus Dr.Web, por lo tanto, no suponen peligro para nuestros usuarios.

Doctor Web agradece a la empresa Yandex por una copia del troyano proporcionada para la investigación.

Más información sobre el troyano

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2019

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А