มัลแวร์ TeamSpy ใช้ TeamViewer ในการเข้าควบคุมและสั่งการเครื่องของเหยื่อ Avast ได้มีการเผยแพร่ผลการวิเคราะห์มัลแวร์ TeamSpy ซึ่งเคยมีการแพร่กระจายครั้งแรกในช่วงปี 2013 โดยมีการแอบติดตั้งโปรแกรม TeamViewer ที่มีการปรับแต่งเอาไว้เพื่อให้เข้าถึงเครื่องที่มีการติดเชื้อภายหลังได้
TeamSpy มีการแพร่กระจายผ่านทางไฟล์เอกสารที่ัฝังมาโครสคริปต์ที่เป็อันตรายเอาไว้ ในกรณีที่มาโครสคริปต์นั้นถูกรัน มันจะทำการดาวโหลดไฟล์ที่มีนามสกุล PNG แต่แท้จริงแล้วเป็นไฟล์โปรแกรมมาติดตั้งบนเครื่องของเหยื่อ
หลังจากมัลแวร์มีการติดตั้งไฟล์ดังกล่าวแล้ว ไฟล์ที่ถูกติดตั้งทั้งหมดจะเป็นไฟล์ของโปรแกรม TeamViewer โดยมีเพียงสองไฟล์ที่ไม่ได้มีการรับรองด้วยลายเซ็นดิจิตอลจาก TeamViewer คือ msimg32.dll และ tvr.cfg สำหรับไฟล์ tvr.cfg นั้นจะเป็นไฟล์การตั้งค่าของ TeamViewer ที่มีการกำหนดเซิร์ฟเวอร์ที่เกี่ยวข้องกับมัลแวร์, รหัสผ่าน, คุณลักษณะในการเชื่อมต่อเอาไว้ ส่วนไฟล์ msing32.dll เป็นไฟล์ของมัลแวร์
ผู้ใช้งานที่ได้รับผลกระทบจาก TeamSpy จะไม่พบเจอหน้าจอของ TeamViewer เปิดอยู่ แนะนำให้ปิดการใช้งานมาโครสคริปต์และเพิ่มความระมัดระวังทุกครั้งเมื่อต้องเปิดใช้
ที่มา: avast
You must be logged in to post a comment.