Антивирусными лабораториями обнаружена новая угроза – Win32/Sheldor.NAD, которая является
модификацией популярной программы для удаленного администрирования
компьютера – TeamViewer.
Был модифицирован один из модулей
легальной программы, который используется в процессе сетевого
взаимодействия с серверами TeamViewer. Модификация позволяла отправлять идентификационные данные актуального сеанса TeamViewer на сервер
злоумышленников, у которых появлялась возможность в любой момент
получить доступ к активной сессии пользователя на зараженном ПК. Это
означает, что мошенники имели не только доступ к конфиденциальным данным
пользователя, но и могли выполнять ряд действий на инфицированном
компьютере, в том числе осуществлять транзакции в системах ДБО, что вело
к финансовым потерям пользователя.
Так как большинство компонентов модифицированной версии TeamViewer
имели легальную цифровую подпись и являлись легальными компонентами, за
исключением одного модуля, количество антивирусных продуктов,
зафиксировавших угрозу на момент ее обнаружения, было мало. Аналитики
ESET отмечают, что модифицированная версия TeamViewer устанавливалась в
систему пользователя при помощи специально разработанной троянской
программы-инсталлятора, которая создавала все необходимые ключи реестра
для работы Win32/Sheldor.NAD: копировала компоненты TeamViewer в
системную папку %WINDIR% и добавляла в автозапуск.
