TeamViewer: Dienst angeblich von Hackern übernommen, einige Betroffene, Anbieter dementiert

1. Juni 2016 Kategorie: Backup & Security, geschrieben von: caschy

artikel_teamviewer(UPDATE: HIER BEFINDET SICH EIN STATEMENT) Kuriose Nachrichten rund um das beliebte Fernwartungstool TeamViewer. Der Dienst litt schon den ganzen Mittwoch unter Störungen, so war die Webseite nicht erreichbar und auch das Warten anderer Rechner aus der Ferne über die TeamViewer-Apps war nicht möglich. TeamViewer gab Netzwerkprobleme als Grund des Ganzen an, teilte aber später mit, dass alles so funktioniere wie gewünscht – lediglich in einigen Regionen könne es noch etwas dauern. Bei Reddit tauchen mittlerweile einige Nutzern auf, die behaupten, ihre Rechner seien über TeamViewer kompromittiert worden.

Will heißen: Sie hatten eine TeamViewer-Instanz im Hintergrund laufen und wurden über eine ID und ein Passwort von anderen ferngewartet. Das Interessante ist: viele Nutzer beschreiben das sehr, sehr glaubhaft und liefern teilweise sogar Screenshots mit – denn die Angreifer haben den Vollzugriff auf die Rechner genutzt, um Überweisungen vorzunehmen und ähnliches. TeamViewer indes behauptet, dass man keinen Einbruch feststellen konnte.

Schräge Geschichte, gerade weil sich so viele Menschen via Reddit und Twitter zum Thema äußern. Momentan heißt es da wohl eher: Holzauge sei wachsam und ziehe mal kurzzeitig bis zur vollständigen Aufklärung dem TeamViewer’schen Stecker. Bereits in der letzten Woche äußerte sich TeamViewer zu Bedenken, die jetzt aktuell durch die angeblichen Fremdzugriffe wieder hochkochen.

Verschwörungstheorie: Was wäre, wenn TeamViewer einen Hack mitbekommen hat – und aus diesen Gründen die DNS-Server geändert hat, um den Dienst und damit die Opfer nicht mehr erreichbar zu machen?

Auf der anderen Seite muss man festhalten, dass derzeit auch eine Backdoor-Software die Runde macht, die auf Windows-Systeme abzielt, TeamViewer im Hintergrund installiert und so eine Remote-Verbindung aufbaut:

A Trojan for Microsoft Windows that is spread by Trojan.MulDrop6.39120. The Trojan’s main payload is incorporated into the avicap32.dll library. Trojan.MulDrop6.39120 runs TeamViewer that automatically loads the library to the computer’s memory. All lines, imports, and functions of TeamViewer’s process are actively implemented by this malicious library. The most critical parts of the Trojan’s code are encrypted with base64 and RC4.

When running, the Trojan removes the icon of TeamViewer from the Windows notification area and disables error reporting. BackDoor.TeamViewer.49 also intercepts calls for some system functions to hide the TeamViewer window.


Über den Autor: caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25059 Artikel geschrieben.