Teamviewer疑似遭遇APT组织攻击
TeamViewer是一个能在任何防火墙和NAT代理的后台用于远程控制的应用程序,桌面共享和文件传输的简单且快速的解决方案。为了连接到另一台计算机,只需要在两台计算机上同时运行 TeamViewer 即可,而不需要进行安装(也可以选择安装,安装后可以设置开机运行)。该软件第一次启动在两台计算机上自动生成伙伴 ID。只需要输入你的伙伴的ID到TeamViewer,然后就会立即建立起连接。J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
不过今天有一个刷遍朋友圈的消(噩)息(耗)J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
其实Teamviewer很早就被各大黑客组织盯上了,被利用作为后门程序。早在2016年也报道出了黑客组织入侵的事件J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
该事件中,恶意软件启动TeamViewer后,其会获取TeamViewer窗口的用户ID(leon)以及密码(vivi),并将主机名+ “|” + 用户名(well),以及固定的一串VPD开头的值(vip),构造成数据包的主要内容。
Vip这个字段的功能,在溯源分析后才发现其作用。J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
当攻击者获取到受害者的Teamviewer账号和密码后,其就会进行回连以便控制受害者电脑并进行进一步操作。
结合今天的消(噩)息(耗),是不是有一种卸载的冲动?J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
不想卸载还有小小的挽回手段J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
自查方式:(以TeamViewer14为例子)J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
1、在TeamViewer安装目录中(默认:C:\program Files(x86)\TeamViewer) 下打开TeamViewer14_Logfile文件;J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
2、在记事本中,点击“编辑”-“查找”,输入关键字“Writefile"(区分大小写)查看是否存在文件传输操作;J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
3、打开TeamViewer14_Logfile_OLD.log文件,重复步骤2操作。J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
注:如果出现上面过程中发现存在相应关键字的内容,且时间节点没有进行上述操作,请立即联系信息安全管理部获取支持。J3Kflash extractor芯片数据恢复软件 oracle extractor数据库修复软件
