Malware installiert und missbraucht Fernwartungssoftware Teamviewer

Der IT-Security-Anbieter Doctor Web hat vor einer neu aufgetauchten Malware gewarnt, mit der Kriminelle Windows-Systeme angreifen. Die Malware installiert dazu missbräuchlich die verbreitete Fernwartungssoftware Teamviewer und stellt darüber die Verbindung zu einem Server der Hintermänner her, um den Datenverkehr dann an eine vordefinierte Adresse weiterzuleiten. Die Cyberkriminellen verwischen so ihre Spuren und stellen eine Verbindung zu Remote-Befehlszentren über einen infizierten PC als Proxy-Server her.

Die als “BackDoor.TeamViewer.49” bezeichnete Schadsoftware gibt sich als Update für den Adobe Flash Player aus. Sie installiert gleichzeitig auch das Schadprogramm “Trojan.MulDrop6.39120“. Wird die heruntergeladene Installationsdatei ausgeführt, öffnet sich ein dem gewohnten Layout von Adobe täuschend ähnliches Fenster. Im Hintergrund wird dann allerdings die Bibliothek avicap32.dll in den Hauptspeicher des Rechners geschrieben.

Der Trojaner aktiviert sich dann automatisch, sobald Teamviewer gestartet wird. Er entfernt zunächst die Desktop-Verknüpfung aus dem Systemtray von Windows. Außerdem unterdrückt er möglicherweise auftretende Fehlermeldungen und unterbindet, dass das Programm auf dem infizierten PC erneut gestartet wird.

Der Untersuchung von Doctor Web zufolge schreibt sich BackDoor.TeamViewer.49 in das Autostartmenü von Windows und versucht, für die Attribute “System” und “verdeckt” zu setzen. Sollte das nicht möglich sein, löscht die Malware alle Teamviewer-Schlüssel aus der Registry. Den Datenaustausch mit dem Verwaltungsserver der Hintermänner nimmt das Programm dann verschlüsselt vor.

Teamviewer betonte gegenüber der silicon.de-Schwestersite ZDNet.de, dass sich die Malware nicht über die Fernwartungssoftware selbst verbreitet. Auch weise Teamviewer keine Sicherheitslücke auf. “Das tatsächliche Problem ist, dass sich Benutzer eine Malware eingefangen haben, die dann ihr System manipuliert; wahrscheinlich über Adware-Bundles. Deswegen raten wir grundsätzlich davon ab, solche Bundles zu installieren”, so ein Sprecher geegnüber ZDNet.

Laut Doctor Web nutzten Trojaner Teamviewer bisher schon dazu, um unerlaubt Zugang zu einem infizierten Rechner zu erhalten. “BackDoor.TeamViewer.49” könne nun jedoch auch diverse Befehle ausführen. Es sei ihm beispielsweise möglich, Verbindungen abzubrechen oder auch gegen den Willen des Benutzers aufrechtzuerhalten. Außerdem könne er selbständig Updates der auth_ip-Liste vornehmen und den Verwaltungsserver kontaktieren.

Die – eigentlich sehr nützlichen – Möglichkeiten von Fernwartungs- und Fernzugriffssoftware haben in der Vergangenheit auch schon Betrüger mehrfach ausgenutzt, die sich als Support-Mitarbeiter großer Firmen ausgeben. Missbrauch getrieben wurde etwa mit den Namen von Microsoft, 1&1 aber auch Dell. In dem Fall begann der Betrug meist mit einem Anruf, oft in englischer Sprache und aus Indien.

Unter einem wechselnden Vorwand wurden Nutzer dann dazu überredet, die Fernzugriffssoftware zu installieren. Im Anschluss wurden sie entweder erpresst, ihnen überhöhte Rechnungen gestellt oder Daten gestohlen. In diesem Jahr beobachtete der US-Anbieter Malwarebytes zudem, dass als Ausgangspunkt des Betrugs auch SEO-optimierte aber gefälschte Support-Seiten von Security-Anbietern verwendet wurden.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago