آموزش طراحی سایت امکان وجود بدافزار در TeamViewer » باشگاه امنیت اطلاعات دکتروب | آنتی ویروس دکتر وب

ورود به سایت   عضویت
ورود به سایت

» » امکان وجود بدافزار در TeamViewer




امکان وجود بدافزار در TeamViewer

 

امکان وجود بدافزار در TeamViewer

 

کاربران خدمات راه دور TeamViewer در هفته‌های اخیر در مورد نفوذ به سامانه‌های آ‎نها، خرید غیرمجاز از کارت‌های اعتباری و خالی شدن حساب‌های بانکی خود شکایت کرده‌اند.
در ابتدا تصور شد که این مشکل به‌خاطر نفوذ به خود TeamViewer است، اما این شرکت منکر چنین موضوعی شد. به جای آن اعلام کرد که از رمزهای عبور نباید دوباره استفاده‌شود، چرا که میلیون‌ها رمز عبور به‌خاطر نفوذهای مکرر به شبکه‌های اجتماعی در دسترس مهاجمان قرار داده شده‌است.
برخی بر این باورند که یک بدافزار در حال فعالیت است. شواهدی در دست است که بسته‌های TeamViewer که دارای بدافزار هستند در حملات هرزنامه مورد استفاده قرار گرفته‌اند و همین امر موجب شده که مهاجمان بتوانند دسترسی از راه دور خود را به سامانه‌های متعددی تضمین کنند. در‌حالی‌که این حمله‌ خاص هرزنامه از یک نسخه ‌قدیمی TeamViewer استفاده‌می‌کند، نمی‌توان از امکان انجام حملات دیگر با استفاده‌ از نسخه‌های جدیدتر چشم پوشید.
این حمله‌ هرزنامه به کاربران در ایتالیا با سوءاستفاده از موضوعات مختلفی ازجمله دسترسی به داده‌ها، شناسه شما مورد استفاده قرار گرفته است، نسخه آزمایشی رایگان 30روزه، سفارش‌های ترکیبی، اطلاعات حساب شما و تأمین مالی حمله کرده‌است.‌
یک پرونده ساده‌ جاوا اسکریپت به این پیام‎ها ضمیمه شده‌است و هنگامی‌که این پرونده اجرا می‌شود می‌تواند پرونده‎های متنوع دیگری را در داخل سامانه قربانی بارگیری کند؛ ازجمله یک کی‌لاگر که به شکل TSPY_DRIDEX.YYSUV شناخته شده‌است، یک نسخه‌ دارای بدافزار TeamViewer که به‌عنوان BKDR_TEAMBOT.MNS شناخته شده‌است و همچنین یک دسته پرونده که دو مورد بالا را اجرا کرده سپس خود را حذف‌می‌کند.
نسخه‌ دارای بدافزار که موجب نصب این در پشتی می‌شود، بسیار قدیمی است، نسخه‌ ۶.۰.۱۷۲۲۲.۰. نرم‌افزار TeamViewer6 ابتدا در دسامبر سال ۲۰۱۰ منتشر شد و در نوامبر سال ۲۰۱۱ با نسخه ۷ این نرم‌افزار جایگزین شد. نکته بعدی اینکه این نرم‌افزار در یک مکان غیرمعمول نصب می‌شود: %APPDATA%\Div (برخی از انواع آ‎نها به جای این مکان، یک رونوشت از خود را در مسیر %APPDATA%/Addins قرار می‌دهند). این رفتار در همه‌ موارد مختلف مشاهده‌شده‌ این حمله ثابت است.
این نسخه از نرم‌افزار دارای در پشتی است، اما این کار با دستکاری نسخه‌ قانونی آن صورت نگرفته‌است. به جای آن، دارای یک پرونده DLL اضافی است، avicap32.dll. (این پرونده DLL‌ به نام BKDR_TEAMBOT.DLL شناخته شده است). در مورد کلاسیک سرقت دستور جستجوی DLL؛ نرم‌افزار قانونی TeamViewer از این DLL برای دو عملکرد استفاده‌می‌کند، نسخه‌ قانونی آن بخشی از خود ویندوز است. با این حال، نسخه‌ حاضر آلوده به مهاجم اجازه می‌دهد تا کنترل نرم‌افزار TeamViewer را به‌دست گیرد.
این حمله‌ خاص یک‌ماه است که به کاربران در ایتالیا حمله می‌کند و زمان کافی در اختیار داشته تا رمزهای عبور و نام‌های کاربری همه‌ قربانیان را جمع‌آوری کند. حضور یک نسخه‌ TeamViewer که دارای در پشتی است این احتمال را افزایش می‌دهد که نسخه‌ جدیدتر نیز ممکن است هدف انجام حملات اخیر شود.
یک موضوع دیگر که باید مورد توجه قرار گیرد این است که مدیران TeamViewer ممکن است بتوانند خسارت ناشی از این نسخه‌های قدیمی را کاهش دهند. همه‌ اتصالات TeamViewer در ابتدا توسط کارگزارهای این شرکت انتقال پیدا می‌کنند؛ بنابراین می‌توان اتصالاتی را که توسط این نسخه‌های پشتیبانی‌نشده صورت‌می‌گیرد در مرحله‌ی اول و درخواست ارتباط قطع‌کرد تا از استفاده‌ مخرب جلوگیری شود. هرچند که متأسفانه اتصال همه‌ کاربران نسخه‌های قدیمی را قطع‌می‌کند.
نرم‌افزارهای راه‌حل Trend Micro نظیر Trend Micro™ Security ،Smart Protection Suites و Worry-Free™ Business Security می‌توانند از کاربران و مؤسسات کوچک در برابر این تهدید با کشف پرونده آلوده و پیام‌های هرزنامه و مسدود کردن همه‌ نشانی‌های آلوده‌ مربوطه محافظت‌کنند. از طرف دیگر، نرم‌افزار Trend Micro Deep Discovery دارای یک لایه‌ بررسی ایمیل است که می‌تواند با کشف ضمیمه‌ها و نشانی‌های آلوده، شرکت‌ها را محافظت‌کند.

گردآوری و انتشار : آنتی ویروس دکتر وب


توسط : drweb  در تاریخ : 31-03-1395, 15:43   بازدیدها : 2024   
بازدید کننده گرامی ، بنظر می رسد شما عضو سایت نیستید
پیشنهاد می کنیم در سایت ثبت نام کنید و یا وارد سایت شوید .