Keine Ahnung, ob ihr die Fernwartungssoftware TeamViewer einsetzt – ich nutze diese nicht, weiß aber, dass diese von Firmen oft verwendet wird. Gestern gab es einen Ausfall und es kocht mal wieder ein Backdoor-Trojaner hoch, der TeamViewer nutzt.
Anzeige
TeamViewer-Störungen …
Seit einigen Tagen häufen sich die Meldungen, dass der TeamViewer-Dienst gestört sei. Gestern gab es wohl einen massiven Ausfall. Aktuell liegt wohl wieder eine Störung vom 2. Juni 2016 seit 6:41 (in Deutschland) an, wie man auf dieser Seite (und hier) sehen kann.
Im Internet gehen jetzt Vermutungen um, dass die TeamViewer-Server gehackt worden seien. Bei reddit.com gibt es diesen Thread zum Thema. In dieser Pressemitteilung vom 23. Mai 2016 verneint das Unternehmen zwar einen Hack. Aber es ist schon auffällig, wie viele Störungen es gibt. Nachtrag: Bei heise.de gibt es einen Artikel zur Störung.
Vorsicht: BackDoor.TeamViewer.49-Trojaner
Parallel dazu warnt die Site dr-web.av.de vor einem BackDoor.TeamViewer.49-Trojaner, der momentan Windows-Nutzer angreift (siehe auch diesen Artikel). Wird der Rechner des Benutzers (z.B. über einen infizierten Dateianhang einer Mail oder eine Malwareseite mit Exploit-Funktionen) von diesem Trojaner befallen, kann dieser Teamviewer verwenden, um (den Cyber-Kriminellen) Zugriff auf eine Maschine zu gewähren. Das Teamviewer-Symbol wird dann entfernt und die Fehlerprotokollierung wird deaktiviert.
Anzeige
Es gibt auch Berichte, dass manche Angriffe wohl über TeamViewer-Anfragen (Einladungen) kommen, die dann von den Nutzern einfach akzeptiert werden (Social Engineering als Angriffsmethode). Betroffene berichten, dass Zahlungen über Paypal von den kompromittierten Maschinen vorgenommen wurden (siehe diesen BGR-Artikel). Ist zwar alles recht seltsam, aber irgendwie nachvollziehbar.
Laut diesem Kommentar (und hier) bei heise.de ist der TeamViewer-Einsatz in Unternehmen kritisch zu sehen. Ich selbst verzichte auf die Software, seit die Firma von einem Private Equity-Fond übernommen wurden. Eine Alternative kann AnyDesk sein (siehe auch hier).
Nachtrag: Bereits kurz nach Veröffentlichung des Blog-Beitrags erreichte mich eine Stellungnahme der PR-Agentur, die für den TeamViewer in Deutschland zuständig ist. Ich stelle den Text mal hier ein.
Im Auftrag von TeamViewer (Storymaker ist die PR-Agentur von TeamViewer) möchte ich ganz kurz Stellung nehmen:
Der Trojaner oder die Malware verbreitet sich nicht, wie im Artikel beschrieben, über TeamViewer. Es gibt keine Sicherheitslücke bei TeamViewer. Das eigentliche Problem ist, dass sich Benutzer eine Malware eingefangen haben, die dann ihr System manipuliert und TeamViewer installiert und missbräuchlich verwendet. Die Malware wird vermutlich über Adware-Bundles verbreitet. Deswegen rät TeamViewer grundsätzlich davon ab, solche Bundles zu installieren.
Und hier noch das offizielle Statement von TeamViewer zum Trojaner BackDoor.TeamViewer.49 – welches ich um werbliche Aussagen gekürzt habe.
In jüngster Zeit erschienen Meldungen über einen Windows Trojaner namens BackDoor.TeamViewer.49, der TeamViewer auf infizierten Rechnern installiert.
Wir verurteilen jede kriminelle Aktivität aufs Schärfste und weisen auf die folgenden drei Aspekte hin:
- Ein Malware-Programm installiert TeamViewer über ein manipuliertes Adobe Flash Update auf bereits infizierten Computern.
- TeamViewer hat den Fall intern untersucht und kann bestätigen, dass es keine Sicherheitslücke innerhalb von TeamViewer gibt.
- Downloads von der offiziellen TeamViewer Website sind nicht betroffen.
Das eigentliche Problem ist eine Malware, die sich als Update für den Adobe Flash Player tarnt. Mit der Installation des Malware-Programms wird auch TeamViewer missbräuchlich installiert. Die aktuelle Situation ist damit wie folgt: Die bereits erwähnte Malware wird über eine andere Malware namens Trojan.MulDrop6.39120 verbreitet, ein gefälschtes Update des Adobe Flash Players. Das Exe-File von Trojan.MulDrop6.39120 installiert den Player auf Windows. Zugleich schreibt es im Hintergrund TeamViewer, BackDoor.TeamViewer.49 und ein erforderliches Konfigurationsfile auf die Festplatte. Während der Installation wird ein täuschend echt aussehendes Installationsfenster des Flash Players angezeigt. Wenn Nutzer dieses schädliche Flash Player Update installieren, erhalten sie eine rechtmäßige Flash-Version, aber auch den Trojan.MulDrop6 Trojaner, der TeamViewer heimlich auf dem Computer des Opfers installiert.
TeamViewer betont folgende Punkte:
- Das eigentliche Problem ist die Installation eines Malware-Programms: Ist ein System einmal infiziert, können die Täter praktisch alles mit diesem System anstellen – abhängig davon, wie komplex die Malware ist, kann sie das komplette System erfassen, auf Informationen zugreifen oder sie manipulieren und so weiter.
- Es gibt keine Sicherheitslücke innerhalb von TeamViewer: Das geschilderte Szenario ist ein dreister Missbrauch der TeamViewer Software. Wir haben keinerlei Beleg, dass der Code unserer Software in irgendeiner Weise betroffen ist.
- Die Täter verbreiten TeamViewer mittels einer Malware. Das macht aus TeamViewer kein Malware- oder angreifbares Programm. Tatsächlich kann diese Vorgehensweise auf unzählige legitime Programme wie TeamViewer angewandt werden.
- Reguläre TeamViewer-Installationen sind von dem genannten Betrug nicht betroffen und stellen keinerlei Sicherheitsproblem dar.
TeamViewer empfiehlt dringend:
- User sollten jegliche Affiliate- oder Adware-Bundles meiden: Während der Nutzer glaubt, lediglich ein harmloses Programm herunterzuladen, könnte die Software tatsächlich etwas anderes installieren.
- Nutzer sollten TeamViewer nur über die offiziellen TeamViewer Kanäle herunterladen: https://www.teamviewer.com.
- User sollten sicherstellen, dass sie jederzeit mit verlässlichen Anti-Malware- und Sicherheitslösungen arbeiten.
Das TeamViewer Support-Team hilft gerne bei der Lösung potenzieller technischer Probleme oder beantwortet Fragen unter.
TeamViewer empfiehlt Nutzern, die Opfer krimineller Aktivitäten geworden sind, sich an ihre örtliche Polizeidienststelle zu wenden, um ihren Fall zu melden. Dies ist vor allem wichtig, weil TeamViewer an sehr strenge Regeln in Sachen Datenschutz und Vertraulichkeit gebunden ist und sensible Daten nur an autorisierte Personen und Behörden herausgeben darf.
Anmerkung von meiner Seite: Die Verlautbarungen seitens TeamViewer widersprechen den im Blog-Beitrag gemachten Aussagen – nach meiner Leseart – in keiner Weise. Dass auch Angriffe über TeamViewer-Anfragen berichtet werden, wird in obigem Schreiben nicht thematisiert.
Nachtrag: Bei heise.de gibt es zwischenzeitlich einen Artikel zum Thema, der von einem DDOS-Angriff auf die TeamViewer-Server spricht.
Ähnliche Artikel
Wichtige Sicherheitsinfos (24.3.2016)
TeamViewer: 'Stille' Übernahme durch Private Equity–Fonds
Fernzugriff von Windows auf das S4 per Teamviewer
AnyDesk 2.0: Final veröffentlicht
Anzeige
Dass es irgend wann TV erwischen würde war schon fast zu erwarten, keine Software ist fehlerfrei und TV sehr weit verbreitet.
AnyDesk gibt es leider noch nicht auf allen Plattformen, iOS und besonders OSX fehlen.
In der Firma läuft natürlich TeamViewer sofern ich mich erinnere, ich selbst nutze natürlich auch TeamViewer der aber bei mir nicht beim Start mitgeladen wird, daneben nutze ich aber auch den RealVNC der Nachteil vom RealVNC ist aber zu viele Einstellungen gibt, wo hingegen der TeamViewer einfach und simpel anzuwenden ist.
Die Sicherheit Spielt natürlich eine Große rolle ich würde vielleicht einfach hergehen den Adobe Flash Player von allen Rechnern zu verbannen.
Ich selber bekomme seit mehreren Wochen immer wieder Anfragen zu Teamviewer, die sich selbstverständlich ablehen.
Die Frage ist nur, woher haben die meine Teamviewer adresse?
Diese wird ausschließlich für Teamviewer genutzt und somit bin ich ziemlich sicher das die Hacker zumindest auf die Adressdatenbank von Teamviewer zugriff haben oder hatten
Frage – wie sieht das aus? Mein Mutter hat Team-Viewer, nutzt es selten . Ich werde das Programm bei ihr löschen.