Der Sicherheitsanbieter Doctor Web warnt vor einem neuen Backdoor-Trojaner, der auf Windows-Systeme abzielt. Die Malware ist in der Lage, die Fernwartungssoftware Teamviewer missbräuchlich zu installieren und darüber eine Verbindung zu einem Remote-Server aufzubauen, um den Datenverkehr an eine vordefinierte Adresse weiterzuleiten. Dadurch können Cyberkriminelle ihre Spuren verwischen und eine Verbindung zu Remote-Befehlszentren über einen infizierten PC als Proxy-Server herstellen.
Sobald Teamviewer im Anschluss gestartet wird, aktiviert sich automatisch auch der Trojaner: Er löscht dann die Desktop-Verknüpfung aus dem Systemtray von Windows und unterdrückt gleichzeitig etwaige Fehlermeldungen. Darüber hinaus unterbindet er ein wiederholtes Starten des Programms auf dem infizierten PC.
BackDoor.TeamViewer.49 schreibt sich der Analyse von Doctor Web zufolge in das Autostartmenü von Windows und versucht, für sein Installationsverzeichnis die Attribute „System“ und „verdeckt“ zu setzen. Sollte keines der beiden Attribute gesetzt werden können, löscht die Malware alle Schlüssel aus der Registry, die zu Teamviewer gehören.
Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.
Nach der Infektion durch den Trojaner finden sich im verschlüsselten Systemverzeichnis auf der Festplatte die ausführbare Systemdatei (*.exe), die Konfigurationsdatei und eine Bibliothek. Die Konfigurationsdatei enthält alle Informationen, die die Malware für einen reibungslosen Betrieb benötigt. Die Bibliothek dient als Speicherort für die Namen von Verwaltungsservern, von denen der Trojaner verschiedene Befehle erhalten kann. Der komplette Datenaustausch mit dem Verwaltungsserver erfolgt stets verschlüsselt.
Laut Doctor Web nutzen Trojaner Teamviewer bisher nur dazu, um einen unerlaubten Zugang zum infizierten Rechner zu erhalten. BackDoor.TeamViewer.49 sei jedoch auch in der Lage, verschiedene Befehle auszuführen. Er kann beispielsweise Verbindungen abbrechen oder auch gegen den Willen des Benutzers aufrechterhalten. Ebenfalls ist es ihm möglich, selbständig Updates der auth_ip-Liste vorzunehmen und den Verwaltungsserver zu kontaktieren.
Update von 15 Uhr: Teamviewer selbst betonte gegenüber ZDNet.de, dass sich die Malware nicht über die Fernwartungssoftware selbst verbreite und diese auch keine Sicherheitslücke aufweise. „Das tatsächliche Problem ist, dass sich Benutzer eine Malware eingefangen haben, die dann ihr System manipuliert; wahrscheinlich über Adware-Bundles. Deswegen raten wir grundsätzlich davon ab, solche Bundles zu installieren.“
Aktuelle Antivirenlösungen wie die von Doctor Web schützen vor solchen Schädlingen. Welche den besten Virenschutz für Windows 10 für Privatanwender und Firmen bieten, hat gerade erst das unabhängige Sicherheitsinstitut AV-Test aus Magdeburg ermittelt.
Update 2.6.2016
Wie Teamviewer mitteilt, wurde der Ausfall seiner Dienste am 1.6.2016 durch eine DoS-Attacke verursacht. Das Unternehmen betont in diesem Zusammenhang noch einmal, dass seine Software keine Sicherheitslücken enthalte. Die geschilderten Vorfälle, bei denen Teamviewer für Angriffe mißbraucht worden sei, könnten auch mit einer anderen Fernwartungssoftware durchgeführt werden. „Die Täter verbreiten Teamviewer mittels einer Malware. Das macht aus Teamviewer kein Malware- oder angreifbares Programm. Tatsächlich kann diese Vorgehensweise auf unzählige legitime Programme wie Teamviewer angewandt werden.“
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…