1

Вот скриншот Process Monitor, который показывает, что процесс AliIM.exe что-то делает с DLL TeamViewer

Записи монитора процесса

Поскольку TeamViewer - это приложение для удаленного управления, у меня есть некоторые проблемы с безопасностью, получат ли они эти учетные данные TeamViewer? Процесс не запрашивает привилегии администратора при запуске.

Журнал монитора процессов в формате csv с включенной функцией "Показать процесс и активность потока".

"Time of Day","Process Name","PID","Operation","Path","Result","Detail"

"7:59:16.2471434 PM","AliIM.exe","30332","Process Start","","SUCCESS","Parent PID: 11168, Command line: ""C:\Program Files (x86)\AliWangWang\AliIM.exe"" /run:desktop, Current directory: C:\Program Files (x86)\AliWangWang\, Environment: 

"7:59:16.2471586 PM","AliIM.exe","30332","Thread Create","","SUCCESS","Thread ID: 29216"

"7:59:16.2940980 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened"

"7:59:16.2941329 PM","AliIM.exe","30332","QueryBasicInformationFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","CreationTime: 10/22/2013 10:47:30 PM, LastAccessTime: 8/14/2014 2:57:05 PM, LastWriteTime: 8/4/2014 3:36:25 PM, ChangeTime: 8/14/2014 2:57:14 PM, FileAttributes: A"

"7:59:16.2941485 PM","AliIM.exe","30332","CloseFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS",""

"7:59:16.2942881 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","Desired Access: Read Data/List Directory, Execute/Traverse, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Delete, AllocationSize: n/a, OpenResult: Opened"

"7:59:16.2943492 PM","AliIM.exe","30332","CreateFileMapping","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","FILE LOCKED WITH ONLY READERS","SyncType: SyncTypeCreateSection, PageProtection: "

"7:59:16.2944498 PM","AliIM.exe","30332","CreateFileMapping","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","SyncType: SyncTypeOther"

"7:59:16.2945615 PM","AliIM.exe","30332","Load Image","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","Image Base: 0x6cff0000, Image Size: 0x1a000"

"7:59:16.2945812 PM","AliIM.exe","30332","CloseFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS",""

"7:59:16.2948406 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\VERSION.dll","NAME NOT FOUND","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a"

"7:59:16.2960652 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\CRTDLL.dll","NAME NOT FOUND","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a"

2 ответа2

3

То, что вы наблюдаете, может быть установкой для атаки, называемой DLL Injection, процессом, с помощью которого вредоносная программа может форсировать выполнение кода в другом процессе, в данном случае teamviewer. Это затем позволяет атаковать на занимаемые процессы, занимающие место в памяти, или изменять его стандартное поведение.

Нет простого способа сказать, что он хочет сделать, но я предполагаю, что со времени его Alibaba он хочет иметь возможность видеть информацию о соединении внутри зашифрованного туннеля, который Teamviewer использует для защиты своего соединения от eavsdropping. Если teamviewer хранит криптографические ключи в оперативной памяти (как это вероятно), программа может иметь доступ к этим ключам или даже наблюдать за действиями входа в систему в режиме реального времени.

0

Может быть, есть и другие объяснения такого поведения.

Обычный поиск DLL - со случайно тем же именем

Имея только эту трассировку, мы видим, что процесс ищет три dll в папке TeamViewer: tv_w32.dll , VERSION.dll (MS Helper DLL Windows) и CRTDLL.dll (MS C Runtime).

Может быть, там работает регулярный поиск DLL, следуя порядку поиска. И путь TeamViewer, кажется, находится в порядке поиска. Зачем еще AliIM.exe искать две библиотеки MS в этой папке?

Если это так, то процесс просто ищет файл tv_w32.dll, и случайно в TeamViewer есть dll с таким именем. (На азиатских страницах, кажется, обсуждается tv_w32.dll, который не является частью TeamViewer).

Любая ошибка / атака
Поскольку мы знаем, что AliIM.exe является вредоносной программой, это может быть атака. В этом случае AliIM.exe может потребоваться "только" некоторая функциональность TeamViewer. Он загружает DLL и использует внутренние функции TeamViewer для собственных целей.

Такие инструменты, как Dependency Walker и Rohtap API Monitor, помогут найти его.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .