Backdoor-Trojaner missbraucht Fernwartungssoftware Teamviewer – DoS-Attacke sorgt für Ausfall [Update]

Der Sicherheitsanbieter Doctor Web warnt vor einem neuen Backdoor-Trojaner, der auf Windows-Systeme abzielt. Die Malware ist in der Lage, die Fernwartungssoftware Teamviewer missbräuchlich zu installieren und darüber eine Verbindung zu einem Remote-Server aufzubauen, um den Datenverkehr an eine vordefinierte Adresse weiterzuleiten. Dadurch können Cyberkriminelle ihre Spuren verwischen und eine Verbindung zu Remote-Befehlszentren über einen infizierten PC als Proxy-Server herstellen.

Der als „BackDoor.TeamViewer.49“ bezeichnete Schädling tarnt sich als Update für Adobe Flash Player und installiert gleichzeitig ein weiteres Schadprogramm namens „Trojan.MulDrop6.39120„. Sobald die Installationsdatei ausgeführt wird, öffnet sich ein täuschend echt aussehendes Fenster mit dem gewohnten Layout von Adobe, während sich im Hintergrund die Bibliothek avicap32.dll in den Hauptspeicher des Rechners schreibt.

Sobald Teamviewer im Anschluss gestartet wird, aktiviert sich automatisch auch der Trojaner: Er löscht dann die Desktop-Verknüpfung aus dem Systemtray von Windows und unterdrückt gleichzeitig etwaige Fehlermeldungen. Darüber hinaus unterbindet er ein wiederholtes Starten des Programms auf dem infizierten PC.

BackDoor.TeamViewer.49 schreibt sich der Analyse von Doctor Web zufolge in das Autostartmenü von Windows und versucht, für sein Installationsverzeichnis die Attribute „System“ und „verdeckt“ zu setzen. Sollte keines der beiden Attribute gesetzt werden können, löscht die Malware alle Schlüssel aus der Registry, die zu Teamviewer gehören.

Nach der Infektion durch den Trojaner finden sich im verschlüsselten Systemverzeichnis auf der Festplatte die ausführbare Systemdatei (*.exe), die Konfigurationsdatei und eine Bibliothek. Die Konfigurationsdatei enthält alle Informationen, die die Malware für einen reibungslosen Betrieb benötigt. Die Bibliothek dient als Speicherort für die Namen von Verwaltungsservern, von denen der Trojaner verschiedene Befehle erhalten kann. Der komplette Datenaustausch mit dem Verwaltungsserver erfolgt stets verschlüsselt.

Laut Doctor Web nutzen Trojaner Teamviewer bisher nur dazu, um einen unerlaubten Zugang zum infizierten Rechner zu erhalten. BackDoor.TeamViewer.49 sei jedoch auch in der Lage, verschiedene Befehle auszuführen. Er kann beispielsweise Verbindungen abbrechen oder auch gegen den Willen des Benutzers aufrechterhalten. Ebenfalls ist es ihm möglich, selbständig Updates der auth_ip-Liste vorzunehmen und den Verwaltungsserver zu kontaktieren.

Update von 15 Uhr: Teamviewer selbst betonte gegenüber ZDNet.de, dass sich die Malware nicht über die Fernwartungssoftware selbst verbreite und diese auch keine Sicherheitslücke aufweise. „Das tatsächliche Problem ist, dass sich Benutzer eine Malware eingefangen haben, die dann ihr System manipuliert; wahrscheinlich über Adware-Bundles. Deswegen raten wir grundsätzlich davon ab, solche Bundles zu installieren.“

Aktuelle Antivirenlösungen wie die von Doctor Web schützen vor solchen Schädlingen. Welche den besten Virenschutz für Windows 10 für Privatanwender und Firmen bieten, hat gerade erst das unabhängige Sicherheitsinstitut AV-Test aus Magdeburg ermittelt.

Update 2.6.2016

Wie Teamviewer mitteilt, wurde der Ausfall seiner Dienste am 1.6.2016 durch eine DoS-Attacke verursacht. Das Unternehmen betont in diesem Zusammenhang noch einmal, dass seine Software keine Sicherheitslücken enthalte. Die geschilderten Vorfälle, bei denen Teamviewer für Angriffe mißbraucht worden sei, könnten auch mit einer anderen Fernwartungssoftware durchgeführt werden. „Die Täter verbreiten Teamviewer mittels einer Malware. Das macht aus Teamviewer kein Malware- oder angreifbares Programm. Tatsächlich kann diese Vorgehensweise auf unzählige legitime Programme wie Teamviewer angewandt werden.“

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de