Backdoor-Trojaner missbraucht Fernwartungssoftware Teamviewer – DoS-Attacke sorgt für Ausfall [Update]

Der Schädling tarnt sich laut Doctor Web als Update für Adobe Flash Player und nistet sich in Windows-Systemen ein. Über Teamviewer erhält er Zugang zum infizierten Rechner. Er kann eine Verbindung zu einem Remote-Server aufbauen und den Datenverkehr an eine vordefinierte Adresse weiterleiten.

Der Sicherheitsanbieter Doctor Web warnt vor einem neuen Backdoor-Trojaner, der auf Windows-Systeme abzielt. Die Malware ist in der Lage, die Fernwartungssoftware Teamviewer missbräuchlich zu installieren und darüber eine Verbindung zu einem Remote-Server aufzubauen, um den Datenverkehr an eine vordefinierte Adresse weiterzuleiten. Dadurch können Cyberkriminelle ihre Spuren verwischen und eine Verbindung zu Remote-Befehlszentren über einen infizierten PC als Proxy-Server herstellen.

Malware (Bild: Shutterstock/Blue Island)Der als „BackDoor.TeamViewer.49“ bezeichnete Schädling tarnt sich als Update für Adobe Flash Player und installiert gleichzeitig ein weiteres Schadprogramm namens „Trojan.MulDrop6.39120„. Sobald die Installationsdatei ausgeführt wird, öffnet sich ein täuschend echt aussehendes Fenster mit dem gewohnten Layout von Adobe, während sich im Hintergrund die Bibliothek avicap32.dll in den Hauptspeicher des Rechners schreibt.

Sobald Teamviewer im Anschluss gestartet wird, aktiviert sich automatisch auch der Trojaner: Er löscht dann die Desktop-Verknüpfung aus dem Systemtray von Windows und unterdrückt gleichzeitig etwaige Fehlermeldungen. Darüber hinaus unterbindet er ein wiederholtes Starten des Programms auf dem infizierten PC.

BackDoor.TeamViewer.49 schreibt sich der Analyse von Doctor Web zufolge in das Autostartmenü von Windows und versucht, für sein Installationsverzeichnis die Attribute „System“ und „verdeckt“ zu setzen. Sollte keines der beiden Attribute gesetzt werden können, löscht die Malware alle Schlüssel aus der Registry, die zu Teamviewer gehören.

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.

Nach der Infektion durch den Trojaner finden sich im verschlüsselten Systemverzeichnis auf der Festplatte die ausführbare Systemdatei (*.exe), die Konfigurationsdatei und eine Bibliothek. Die Konfigurationsdatei enthält alle Informationen, die die Malware für einen reibungslosen Betrieb benötigt. Die Bibliothek dient als Speicherort für die Namen von Verwaltungsservern, von denen der Trojaner verschiedene Befehle erhalten kann. Der komplette Datenaustausch mit dem Verwaltungsserver erfolgt stets verschlüsselt.

Laut Doctor Web nutzen Trojaner Teamviewer bisher nur dazu, um einen unerlaubten Zugang zum infizierten Rechner zu erhalten. BackDoor.TeamViewer.49 sei jedoch auch in der Lage, verschiedene Befehle auszuführen. Er kann beispielsweise Verbindungen abbrechen oder auch gegen den Willen des Benutzers aufrechterhalten. Ebenfalls ist es ihm möglich, selbständig Updates der auth_ip-Liste vorzunehmen und den Verwaltungsserver zu kontaktieren.

Update von 15 Uhr: Teamviewer selbst betonte gegenüber ZDNet.de, dass sich die Malware nicht über die Fernwartungssoftware selbst verbreite und diese auch keine Sicherheitslücke aufweise. „Das tatsächliche Problem ist, dass sich Benutzer eine Malware eingefangen haben, die dann ihr System manipuliert; wahrscheinlich über Adware-Bundles. Deswegen raten wir grundsätzlich davon ab, solche Bundles zu installieren.“

Aktuelle Antivirenlösungen wie die von Doctor Web schützen vor solchen Schädlingen. Welche den besten Virenschutz für Windows 10 für Privatanwender und Firmen bieten, hat gerade erst das unabhängige Sicherheitsinstitut AV-Test aus Magdeburg ermittelt.

Update 2.6.2016

Wie Teamviewer mitteilt, wurde der Ausfall seiner Dienste am 1.6.2016 durch eine DoS-Attacke verursacht. Das Unternehmen betont in diesem Zusammenhang noch einmal, dass seine Software keine Sicherheitslücken enthalte. Die geschilderten Vorfälle, bei denen Teamviewer für Angriffe mißbraucht worden sei, könnten auch mit einer anderen Fernwartungssoftware durchgeführt werden. „Die Täter verbreiten Teamviewer mittels einer Malware. Das macht aus Teamviewer kein Malware- oder angreifbares Programm. Tatsächlich kann diese Vorgehensweise auf unzählige legitime Programme wie Teamviewer angewandt werden.“

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Doctor Web, Malware, Security, TeamViewer

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu Backdoor-Trojaner missbraucht Fernwartungssoftware Teamviewer – DoS-Attacke sorgt für Ausfall [Update]

Kommentar hinzufügen
  • Am 1. Juni 2016 um 19:59 von Silvie

    Wenn TeamViewer keine Sicherheitslücke aufweist. dann frage ich mich warum die Internetseite von TV komplett vom Netz genommen wurde und die Server herunter gefahren waren? Das ist jetzt das zweite Mal dieses Jahr, dass ein Angriff über TeamViewer erfolgte. Wir nutzen die Software für unsere Support Leistungen bei unseren Kunden, bin mal gespannt, wie lange es dauert bis der erste Kunde uns über TV keinen Zugriff mehr gewährt.

    • Am 1. Juni 2016 um 23:22 von Operator

      Schaut euch doch mal ZOOM an.
      Auch ein sehr gutes und stabiles Programm, welches ich persönlich ansprechender finde…

  • Am 1. Juni 2016 um 18:24 von Kurti

    @ALL: Danke für den Hinweis, dass der Teamviewer-Server down ist.

    Um 18:24h scheint er das immer noch zu sein :-(

  • Am 1. Juni 2016 um 17:28 von W. Mücke

    TeamViewer.com und auch die Server sind aktuell nicht erreichbar.

  • Am 1. Juni 2016 um 17:16 von Ralph Strähl

    TeamViewer down seit ca. 16.00 Uhr

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *