Malware installiert und missbraucht Fernwartungssoftware Teamviewer

Der IT-Security-Anbieter Doctor Web hat vor einer neu aufgetauchten Malware gewarnt, mit der Kriminelle Windows-Systeme angreifen. Die Malware installiert dazu missbräuchlich die verbreitete Fernwartungssoftware Teamviewer und stellt darüber die Verbindung zu einem Server der Hintermänner her, um den Datenverkehr dann an eine vordefinierte Adresse weiterzuleiten. Die Cyberkriminellen verwischen so ihre Spuren und stellen eine Verbindung zu Remote-Befehlszentren über einen infizierten PC als Proxy-Server her.

Die als “BackDoor.TeamViewer.49” bezeichnete Schadsoftware gibt sich als Update für den Adobe Flash Player aus. Sie installiert gleichzeitig auch das Schadprogramm “Trojan.MulDrop6.39120“. Wird die heruntergeladene Installationsdatei ausgeführt, öffnet sich ein dem gewohnten Layout von Adobe täuschend ähnliches Fenster. Im Hintergrund wird dann allerdings die Bibliothek avicap32.dll in den Hauptspeicher des Rechners geschrieben.

Der Trojaner aktiviert sich dann automatisch, sobald Teamviewer gestartet wird. Er entfernt zunächst die Desktop-Verknüpfung aus dem Systemtray von Windows. Außerdem unterdrückt er möglicherweise auftretende Fehlermeldungen und unterbindet, dass das Programm auf dem infizierten PC erneut gestartet wird.

Der Untersuchung von Doctor Web zufolge schreibt sich BackDoor.TeamViewer.49 in das Autostartmenü von Windows und versucht, für die Attribute “System” und “verdeckt” zu setzen. Sollte das nicht möglich sein, löscht die Malware alle Teamviewer-Schlüssel aus der Registry. Den Datenaustausch mit dem Verwaltungsserver der Hintermänner nimmt das Programm dann verschlüsselt vor.

Teamviewer betonte gegenüber der silicon.de-Schwestersite ZDNet.de, dass sich die Malware nicht über die Fernwartungssoftware selbst verbreitet. Auch weise Teamviewer keine Sicherheitslücke auf. “Das tatsächliche Problem ist, dass sich Benutzer eine Malware eingefangen haben, die dann ihr System manipuliert; wahrscheinlich über Adware-Bundles. Deswegen raten wir grundsätzlich davon ab, solche Bundles zu installieren”, so ein Sprecher geegnüber ZDNet.

Laut Doctor Web nutzten Trojaner Teamviewer bisher schon dazu, um unerlaubt Zugang zu einem infizierten Rechner zu erhalten. “BackDoor.TeamViewer.49” könne nun jedoch auch diverse Befehle ausführen. Es sei ihm beispielsweise möglich, Verbindungen abzubrechen oder auch gegen den Willen des Benutzers aufrechtzuerhalten. Außerdem könne er selbständig Updates der auth_ip-Liste vornehmen und den Verwaltungsserver kontaktieren.

Die – eigentlich sehr nützlichen – Möglichkeiten von Fernwartungs- und Fernzugriffssoftware haben in der Vergangenheit auch schon Betrüger mehrfach ausgenutzt, die sich als Support-Mitarbeiter großer Firmen ausgeben. Missbrauch getrieben wurde etwa mit den Namen von Microsoft, 1&1 aber auch Dell. In dem Fall begann der Betrug meist mit einem Anruf, oft in englischer Sprache und aus Indien.

Unter einem wechselnden Vorwand wurden Nutzer dann dazu überredet, die Fernzugriffssoftware zu installieren. Im Anschluss wurden sie entweder erpresst, ihnen überhöhte Rechnungen gestellt oder Daten gestohlen. In diesem Jahr beobachtete der US-Anbieter Malwarebytes zudem, dass als Ausgangspunkt des Betrugs auch SEO-optimierte aber gefälschte Support-Seiten von Security-Anbietern verwendet wurden.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de