Ваша корзина пуста
+7 (903) 530-06-57

Раскрыта сеть шпионского ПО «TeamSpy Crew», использовавшая TeamViewer как вредоносное ПО

На этой неделе специалистами Ikarus Security Software была раскрыта проработавшая долгое время сеть кибершпионажа, известная под названием «TeamSpy Crew», занимавшаяся распространением вредоносного ПО и атаками типа Command&Control (удаленный захват управления). Это делалось путём рассылки зараженного исполняемого файла TeamViewer, который скачивали пользователи по всему миру. По мнению некоторых исследователей, TeamSpy Crew могла действовать более десяти лет, используя свои шпионские инструменты против не только государственных организаций, но и простых пользователей.

25 марта 2013, 05:30

Ко­ли­че­ство поль­зо­ва­те­лей TeamViewer в ми­ре пре­вы­ша­ет 100 мил­ли­о­нов — ко­ли­че­ство по­тен­ци­аль­но под­верг­ших­ся ата­ке поль­зо­ва­те­лей без­гра­нич­но! Вер­сии по­пуляр­но­го про­дук­та с «за­хва­том DLL» пред­на­зна­че­ны для за­хва­та управ­ле­ния в ре­аль­ном вре­ме­ни ком­пью­те­ра­ми, где уста­нов­ле­на ском­про­ме­ти­ро­ван­ная вер­сия ПО. Очень ча­сто при­ме­ня­лись ата­ки ти­па «во­до­пой» - с целе­вым раз­ме­ще­ни­ем вре­до­нос­но­го ПО на сай­ты, ко­то­рые ча­сто по­се­ща­ют­ся пред­по­ла­га­е­мым объ­ек­том на­па­де­ния, чтобы при за­хо­де на этот сайт ком­пью­тер был за­ра­жен. Так­же ис­поль­зо­ва­лась уста­нов­ка вре­до­нос­но­го ПО на ком­пью­те­рах ре­клам­ных се­тей, на­кры­ва­ю­щих це­лые ре­ги­о­ны!

Кро­ме осо­бо вы­бран­ных це­лей, ата­кам под­верг­лось мно­же­ство обыч­ных поль­зо­ва­те­лей. Несо­мнен­но, од­но ос­нов­ной це­лью был сбор ин­фор­ма­ции всех ви­дов. Сер­ти­фи­ка­ты, па­ро­ли и за­шиф­ро­ван­ные фай­лы по­хи­ща­лись неза­мет­но для поль­зо­ва­те­ля!

Чтоб за­щи­тить вас от зло­умыш­лен­ни­ков, мы на­сто­я­тель­но ре­ко­мен­ду­ем сле­ду­ю­щую про­це­ду­ру:

Ска­чи­вать TeamViewer толь­ко с сай­тов, ко­то­рым до­ве­ря­е­те, мы ре­ко­мен­ду­ем http://www.teamviewer.com

Ва­ша ан­ти­ви­рус­ная за­щи­та долж­на быть об­нов­лен­ной и пол­но­стью спо­соб­ной об­на­ру­жи­вать и за­щи­щать от ин­фи­ци­ро­ван­ных вер­сий TeamViewers. С IKARUS anti.virus и служ­ба­ми без­опас­но­сти Security Services IKARUS web.security, IKARUS wifi.security и IKARUS security.proxy вы по­лу­чи­те ав­то­ма­ти­че­ски все об­нов­ле­ния для за­щи­ты от этих угроз и мно­гих по­доб­ных

Так­же об­но­ви­те ваш Бра­у­зер, Java и Adobe Flash-Player - это пер­вые во­ро­та в ва­шу си­сте­му.

 Как опре­де­лить, за­ра­же­на ли ва­ша си­сте­ма:

За­ра­жен­ный TeamViewer.exe на­хо­дит­ся в ме­ню ав­то­ма­ти­че­ско­го за­пус­ка, по при­мер­но та­ко­му пу­ти

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Ес­ли там об­на­ру­же­на стро­ка “svchost” - это до­пол­ни­тель­ный при­знак то­го, что ва­ша си­сте­ма за­ра­же­на.

С по­мо­щью ProcessExplorer в со­ста­ве SysInternals (Microsoft) мож­но про­ве­рить, ска­чи­вал­ся ли до­пол­ни­тель­ный эле­мент. Пе­ре­име­нуй­те procexp.exe по­то­му что в про­тив­ном слу­чае за­ра­жен­ный TeamViewer.ex за­кро­ет про­грам­му.
(process investigation “procexp.exe” KILL).

От­крой­те свой­ства TeamVeiwer.exe,клик­ни­те вклад­ку “Threads”. Ес­ли ва­ша си­сте­ма за­ра­же­на, там бу­дет на­хо­дит­ся по­вре­жден­ный мо­дуль “AVICAP32.DLL”

Вы - один из 100,000,000 поль­зо­ва­те­лей TeamViewer, уже по­ра­жен­ных вре­до­нос­ным ПО? На­сто­я­тель­но ре­ко­мен­ду­ем вам за­щи­тить се­бя при по­мо­щи IKARUS anti.virus или та­ких служб, как IKARUS wifi.security, IKARUS web.security или IKARUS security.proxy