Скачать и активировать teamviewer на русском

Особенности бесплатной версии ТимВивер

Бесплатная версия доступна только пользователям для личного использования. Если такую версию обнаружат в организациях во время проверки, то на владельцев компании могут наложить серьезный штраф, да и сами разработчики программы имеют несколько способов распознать нелегальное использование своего продукта в организациях.

Функционал данной версии практически ничем не отличается от коммерческой, за исключением некоторых пунктов:

  1. В бесплатной версии программы присутствует небольшая реклама.
  2. После каждого сеанса удаленного управления всплывают окна с предложениями о покупке лицензии.
  3. Некоммерческую версию нельзя использовать на серверных операционных системах.
  4. Нет возможность настройки модулей для клиентов.

Если хотя бы один из этих пунктов вызывает у вас дискомфорт при использовании программы, то стоит обратить внимание на платную версию

Файл конфигурации

Конфигурация TeamSpy хранится в файле tvr.cfg. В нем используется собственный простой алгоритм шифрования, который показан ниже. Он читает входной файл и использует пароль «TeamViewer». Алгоритм оперирует двумя счетчиками: cnt1 (0…количество байт в tvr.cfg) и cnt2 (0…длина пароля). Он берет один байт из пароля и добавляет произведение cnt1*cnt2. Это происходит с каждым символом пароля. Со всеми результатами выполняется операция XOR (сложение по модулю 2), создается один символ. В конце цикла операция XOR применяется и к нему с соответствующим байтом из файла конфигурации. Эти шаги повторяются для всех байтов в файле конфигурации.

Расшифрованный файл конфигурации показан ниже. Названия большинства параметров говорят сами за себя. Для нас наибольшее значение имеют пароль (зараженная машина имеет пароль «superpass») и server1, где находится извлеченный идентификатор машины.

Kaк избaвитьcя oт пpoбнoгo пepиoдa

Наиболее простой вариант снять ограничения TeamViewer – купить лицензию этой программы. Однако, далеко не каждый пользователь или организация имеют лишние средства для оплаты. Поэтому они пользуются альтернативными методами.

Многим помогает удаление и установка программы заново. Правда, делать это нужно с умом, подчистив все остатки приложения. Если все сделать по-простому, то после повторной установки сообщение об окончании пробного периода никуда не денется. Чтобы правильно удалить программу нужно произвести несколько действий:

  1. Заходим в панель управления компьютером и находим там пункт «Программы и компоненты».
  2. В открывшемся списке выбираем TeamViewer и удаляем его.
  3. Затем скачиваем и устанавливаем программу CCleaner. После этого открываем в ней пункт «Сервис», затем «Удаление программ» и отыскиваем Тим Вивер. Нажимаем на «Удалить». Это действие удалит данные о программе в реестре.

Далее необходимо уже лично пройтись по реестру компьютера. Для этого нужно:

  1. Нажать на клавиатуре одновременно клавиши WIN и R, после чего ввести в поисковой строке «regedit».
  2. Далее нажимаем CTRL + F и пишем в поиске TeamViewer.
  3. В ответ будут выдаваться записи, в которых содержатся упоминания о программе. Каждую из них нужно удалять. После каждого удаления нажимаем на F3, чтобы продолжить поиск записей.
  4. После удаления всех записей выполняем перезагрузку компьютера.

В большинстве случаев этот метод должен решать проблему. Тем, кому не помог этот способ, придется прибегать к более радикальным мерам. Данные о лицензии привязаны к ID пользователя, который выдается сервером. Чтобы сообщение о том, что срок действия лицензии истек, исчезло, необходимо сменить ID. Сделать это можно только заменой MAC-адреса сетевой карты ПК.

Что такое пробный период

Чтобы пользователи могли лучше ознакомиться с функционалом коммерческой версии, был придуман пробный период, длящийся неделю

В ходе него человек должен понять, требуется ли ему весь этот набор опций или стоит лучше обратить свое внимание на другие программы. После того, как срок действия пробной версии заканчивается, на пользователя накладывается ряд ограничений

Так, после окончания бесплатного периода сеанс удаленного подключения не может длиться больше 5 минут. Также нельзя восстановить связь сразу после разрыва – придется ждать еще 5 минут. Снять эти ограничения можно двумя способами: хитростью или купив лицензию.

Истекла пробная версия TeamViewer

Контроль чата

Зараженный компьютер управляется при помощи программы TeamViewer. Киберпреступники могут подключиться к удаленному компьютеру (им известны идентификатор и пароль TeamViewer) или отправлять команды при помощи чата программы TeamViewer, что позволяет им делать на зараженной машине все что угодно. Связь посредством чата TeamViewer позволяет использовать базовые функции лазеек: applist, wcmd, ver, os, vpn, locale, time, webcam, genid. В коде TeamSpy эти команды сравниваются со своими контрольными суммами crc32, поэтому вероятность конфликтов довольно высока. Так как crc32(wcmd) = 07B182EB = crc32(aacvqdz), эти команды взаимозаменяемы.

Использование допустимой сети VPN программы TeamViewer шифрует трафик и делает его неотличимым от безвредного трафика TeamViewer. После заражения устройства злоумышленники получают полный доступ к компьютеру. Они могут похитить и извлечь важные данные, скачать и запустить любую программу и сделать многое другое.

Использование в своих целях приложения с негласной загрузкой — изобретательный подход, так как не каждый пользователь проверяет благонадежность каждой библиотеки DLL в одном каталоге. Проверка подписи главного исполняемого файла не выявляет ничего подозрительного и может оставить жертву в неведении о случившемся. Ниже показана цифровая подпись основного файла update_w32.exe. Этот файл не является вредоносным.

Важно помнить, что TeamSpy — не единственный класс вредоносного ПО, который может использовать программу TeamViewer в своих целях. Здесь описан лишь один из них

Однако принципы их работы одинаковы.

Алгоритмы SHA 5.0

XLS с макросом

Установщик Inno, защищенный паролем

Поддельный файл msimg32.dll

TeamSpy: способ заражения

Программа TeamSpy распространяется при помощи спама по электронной почте, который обманом убеждает людей открыть вредоносное вложение, представляющее собой Excel-файл с макросом. После открытия вложения отображается следующее.

После включения макроса запускается процесс заражения, работающий полностью в фоновом режиме, поэтому жертва не замечает ничего необычного. Если заглянуть внутрь вредоносного макроса, можно увидеть слегка запутанные строки кода, затрудняющие их анализ, которые обычно разбиты на одну или несколько подстрок, объединяющиейся в конце. Наиболее важная информация обведена красным и включает ссылку, по которой выполняется скачивание объекта, и пароль, который будет использован позже.

Ссылка disk.karelia.pro указывает на легальный российский файлообменник. Хотя загруженное вложение является .png файлом, на самом деле это исполняемый .exe файл, выполянющий установку программы Inno Setup, защищенную паролем.

С помощью утилиты innounp мы смогли получить список файлов или извлечь их из установщика Inno Setup, который используется вредоносной программой. Как видно в списке ниже, большая часть файлов — обычные двоичные файлы программы TeamViewer, имеющие цифровые подписи. Исключение составляют два файла: msimg32.dll и tvr.cfg. Tvr.cfg — это файл конфигурации программы TeamSpy, он будет описан позже. Msimg32.dll — это сама вредоносная программа, библиотека DLL, являющаяся частью операционной системы Windows. Однако в данном случае программа TeamSpy использует порядок поиска DLL в своих целях. В результате поддельный файл msimg32.dll из текущего каталога загружается в процесс вместо настоящего файла msimg32.dll из каталога Windows/System32. Сама вредоносная программа является поддельной библиотекой msimg32.dll.

Скрытые команды

Заразив устройство, большинство вредоносных программ связываются с сервером контроля и управления (C&C). Данный сервер — это центр управления, отправляющий команды, которые должна выполнять вредоносная программа. Серверы контроля и управления также принимают собранные вирусом данные. Для подобного взаимодействия авторы вредоносных программ обычно используют собственные протоколы, которые могут быть без особого труда замечены и заблокированы антивирусом. Чтобы сделать их обнаружение более сложным, некоторые создатели вредоносного ПО вместо этого применяют популярные программы для удаленного управления (например, TeamViewer), используя возможности их сети VPN для лучшей маскировки обмена данными между вредоносной программой и серверами контроля и управления.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий