Virtual-IT.pl - wirtualizacja cloud computing storage SDx data center
Mastering vSphere - Free ebook from Altaro

Gartner: Chmura wśród 10 największych zagrożeń dla biznesu
Gartner: Chmura wśród 10 największych zagrożeń dla biznesu

Nieustający rozwój technologii przynosi nowe ryzyka dla prowadzenia działalności gospodarczej. Firma analityczna Gartner zdiagnozowała dziesięć obszarów, na które musi zwrócić uwagę każdy szybko rozwijający się biznes. Zaskakiwać może wysokie pierwsze miejsce dla chmury obliczeniowej. Eksper...

Czytaj więcej...

Chmura obliczeniowa wyprze tradycyjne centra danych
Chmura obliczeniowa wyprze tradycyjne centra danych

Wyniki najnowszego badania Cisco Global Cloud Index koncentrującego się wokół wirtualizacji centrów danych i chmury obliczeniowej wskazują, że do 2021 roku przesył danych związany z chmurą będzie wynosił 19,5 ZB (zettabajtów), a co ważne będzie stanowił 95 procent całkowitego ruchu w centrach danyc...

Czytaj więcej...

15 najlepiej płatnych certyfikacji w 2018 roku
15 najlepiej płatnych certyfikacji w 2018 roku

Nikt nie ma wątpliwości, że IT można zaliczyć do najszybciej rozwijających się branż. Osoby wchodzące w świat IT zadają sobie pytanie jak zrobić ten pierwszy krok, a specjaliści mocno zakorzenieni w branży często myślą na kolejnym krokiem, na drodze do wymarzonego stanowiska. Dobrym sposobem na wprowadzenie zmian, jest...

Czytaj więcej...

Dwie trzecie firm z sektora MŚP już wybrało chmurę
Dwie trzecie firm z sektora MŚP już wybrało chmurę

Z raportu "Chmura w MŚP. Zaufanie czy ostrożność przedsiębiorców?" opracowanego przez Onex Group wynika, że już 67 procent małych i średnich firm w Polsce korzysta z rozwiązań chmurowych. W porównaniu z badaniami przeprowadzonymi przed rokiem odnotowano 16 procentowy wzrost. Choć na pierwszy rzut oka taki...

Czytaj więcej...

Altaro VM Backup v8 już dostępny!
Altaro VM Backup v8 już dostępny!

Firma Altaro zaktualizowała swoje flagowe rozwiązanie - Altaro VM Backup - przeznaczone do tworzenia kopii zapasowych maszyn wirtualnych działających pod kontrolą hypervisorów Microsoft Hyper-V oraz VMware vSphere/ESXi. Nowy Altaro VM Backup 8.0 (Build 8.0.3) wprowadza funkcjonalność - WAN-Optimized Replication....

Czytaj więcej...

Veeam umacnia pozycję lidera w obszarze zarządzania danymi w chmurze
Veeam umacnia pozycję lidera w obszarze zarządzania danymi w chmurze

Podczas konferencji Veeam Velocity 2019 odbywającej się w tym tygodniu w Orlando, Veeam Software podkreślając swoje mocne zaangażowanie w usprawnienie zarządzania danymi w chmurze, integracji chmury, przenoszeniu obciążeń między lokalizacjami i podniesieniu możliwości związanych z bezpieczeństwem zaprezentował Veeam Av...

Czytaj więcej...

Bezpieczeństwo IT - w chmurze czy lokalnie?
Bezpieczeństwo IT - w chmurze czy lokalnie?

Jak wskazuje Gartner jednym z głównych trendów w gospodarce światowej jest dziś Cloud Shift, czyli coraz silniejszy nacisk na wykorzystanie chmury obliczeniowej. Analitycy tej firmy twierdzą, że do 2020 roku niewykorzystywanie chmury będzie w przedsiębiorstwach zjawiskiem tak rzadkim, jak obecnie brak dos...

Czytaj więcej...

Aktualności

Popularny TeamViewer wykorzystywany przez backdoora

TeamViewer TrojanDo niedawna analitycy bezpieczeństwa znali kilka rodzajów złośliwych programów, wykorzystujących popularne narzędzie zdalnej kontroli PC - TeamViewer, do uzyskiwania nieautoryzowanego dostępu do zainfekowanego komputera. Nowy trojan - BackDoor.TeamViewer.49 - wykryty w maju 2016 przez specjalistów firm Doctor Web i Yandex, jest tu wyjątkiem, ponieważ używa on tego narzędzia do zupełnie innych celów.


W celu rozpowszechniania BackDoor.TeamViewer.49, twórcy wirusa użyli innej złośliwej aplikacji nazwanej Trojan.MulDrop6.39120, która jest w rzeczywistości fałszywą aktualizacją programu Adobe Flash Player. Plik wykonywalny wirusa Trojan.MulDrop6.39120 instaluje rzeczony odtwarzacz w systemie Windows. W tym samym czasie w skrycie zapisuje na dysku plik programu TeamViewer, wirusa BackDoor.TeamViewer.49 i wymagany plik konfiguracyjny. Podczas instalacji wyświetlane jest legalne okno instalatora programu Flash Player.
 
Z reguły trojany używają TeamViewer’a do uzyskania dostępu do komputera użytkownika. W tym przypadku TeamViewer odgrywa inną rolę: BackDoor.TeamViewer.49 używa różnych wewnętrznych funkcji procesów tego programu. Dodatkowo, tuż po uruchomieniu, TeamViewer zazwyczaj automatycznie ładuje do pamięci bibliotekę avicap32.dll, co okazuje się być bardzo przydatne dla twórców wirusa: w tym samym folderze do którego Trojan.MulDrop6.39120 zapisał aplikację, osadzają oni złośliwą bibliotekę o takiej samej nazwie jak oryginalna. W ten sposób złośliwa biblioteka jest automatycznie ładowana do pamięci z chwilą uruchomienia TeamViewer’a.

Gdy TeamViewer zostanie uruchomiony, BackDoor.TeamViewer.49 usuwa jego ikonę z obszaru powiadomień systemu Windows i blokuje wyświetlanie informacji o błędach. Trojan implementuje również specjalny mechanizm służący do zapobiegania ponownemu uruchomieniu się programu-narzędzia na zainfekowanym komputerze. Parametry wymagane do poprawnej pracy wirusa BackDoor.TeamViewer.49 są zapisane w pliku konfiguracyjnym.

BackDoor.TeamViewer.49 rejestruje siebie w usłudze autorun a następnie, działając w nieskończonej pętli, ale z określonymi interwałami, przypisuje folderowi, zawierającemu plik wykonywalny, złośliwą bibliotekę i plik konfiguracyjny, atrybuty “ukryty” i “systemowy”. Jeśli to przypisanie atrybutów nie powiedzie się, trojan rozpocznie usuwanie z rejestru systemu wszystkich kluczy odnoszących się do narzędzia TeamViewer.

Co więcej, w kodzie trojana osadzono kolejną zaszyfrowaną bibliotekę, odpowiedzialną za realizowanie złośliwej aktywności wirusa BackDoor.TeamViewer.49. Biblioteka zawiera specjalnie wygenerowaną tablicę reprezentującą nazwy serwerów, z których mogą być dostarczane instrukcje. Wszystkie informacje wysyłane i odbierane przez wirusa są szyfrowane.

Opisywany złośliwy program potrafi wykonać kilka poleceń. Jego główną funkcją jest zestawienie połączenia z serwerem (włączając zautoryzowanie się na nim) i przekierowanie ruchu z serwera na określony zdalny serwer poprzez zainfekowany komputer. W ten sposób cyberprzestępcy mogą pozostać anonimowi w sieci, łącząc się do zdalnych serwerów z użyciem zainfekowanego komputera w taki sposób, jakby był to serwer proxy.

Źródło: Doctor Web