Que processo pode obter ao tocar na dll de outra aplicação?

1

Aqui está uma captura de tela do Process Monitor, que mostra um processo AliIM.exe está fazendo algo com uma dll do TeamViewer

ComooTeamVieweréumaplicativodeControleRemoto,tenhoalgumapreocupaçãocomasegurança.RecebereiminhascredenciaisdoTeamViewerporessasações?Oprocessonãopedeprivilégiodeadministradorquandoéiniciado.

Registreomonitordemonitornoformatocsv,com"show process e thread activity" ativados.

"Time of Day","Process Name","PID","Operation","Path","Result","Detail"

"7:59:16.2471434 PM","AliIM.exe","30332","Process Start","","SUCCESS","Parent PID: 11168, Command line: ""C:\Program Files (x86)\AliWangWang\AliIM.exe"" /run:desktop, Current directory: C:\Program Files (x86)\AliWangWang\, Environment: 

"7:59:16.2471586 PM","AliIM.exe","30332","Thread Create","","SUCCESS","Thread ID: 29216"

"7:59:16.2940980 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened"

"7:59:16.2941329 PM","AliIM.exe","30332","QueryBasicInformationFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","CreationTime: 10/22/2013 10:47:30 PM, LastAccessTime: 8/14/2014 2:57:05 PM, LastWriteTime: 8/4/2014 3:36:25 PM, ChangeTime: 8/14/2014 2:57:14 PM, FileAttributes: A"

"7:59:16.2941485 PM","AliIM.exe","30332","CloseFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS",""

"7:59:16.2942881 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","Desired Access: Read Data/List Directory, Execute/Traverse, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Delete, AllocationSize: n/a, OpenResult: Opened"

"7:59:16.2943492 PM","AliIM.exe","30332","CreateFileMapping","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","FILE LOCKED WITH ONLY READERS","SyncType: SyncTypeCreateSection, PageProtection: "

"7:59:16.2944498 PM","AliIM.exe","30332","CreateFileMapping","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","SyncType: SyncTypeOther"

"7:59:16.2945615 PM","AliIM.exe","30332","Load Image","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","Image Base: 0x6cff0000, Image Size: 0x1a000"

"7:59:16.2945812 PM","AliIM.exe","30332","CloseFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS",""

"7:59:16.2948406 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\VERSION.dll","NAME NOT FOUND","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a"

"7:59:16.2960652 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\CRTDLL.dll","NAME NOT FOUND","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a"
    
por Edward 30.12.2014 / 13:57

2 respostas

3

O que você está observando pode ser a configuração de um ataque chamado DLL Injection , um processo pelo qual um programa mal-intencionado pode forçar a execução do código dentro de outro processo, neste caso teamviewer. Isso permite ataques à pegada da memória do processo de execução ou alterações em seu comportamento padrão.

Não há uma maneira fácil de dizer o que ele quer fazer, mas eu suporia desde o seu Alibaba, que ele quer poder ver informações de conexão dentro do túnel criptografado que o Teamviewer usa para proteger sua conexão do eavsdropping. Se teamviewer armazena chaves de criptografia em memória RAM (como é provável), o programa pode ter acesso a essas chaves ou até mesmo observar as ações de login em tempo real.

    
por 30.12.2014 / 16:37
0

Pode haver outras explicações para esse comportamento.

Pesquisa normal de DLL - com o mesmo nome acidentalmente

Tendo apenas este rastreio, vemos que o processo está procurando três dlls na pasta TeamViewer: tv_w32.dll , VERSION.dll (MS Helper DLL Windows) e CRTDLL.dll (MS C Runtime).

Pode estar lá executando uma pesquisa regular de DLL após o ordem de pesquisa . E o caminho do TeamViewer parece estar na ordem de pesquisa. Por que outro motivo o AliIM.exe deve procurar as duas DLLs do MS nessa pasta?

Se isso for verdade, então o processo está apenas procurando por um tv_w32.dll e, por acidente, o TeamViewer tem uma dll com esse nome. (Em páginas asiáticas parece haver discussões sobre um tv_w32.dll que não faz parte do TeamViewer).

Qualquer tipo de erro / ataque
Desde que sabemos que AliIM.exe é malware, pode ser um ataque. Nesse caso, o AliIM.exe pode precisar de "apenas" algumas funcionalidades do TeamViewer. Ele carrega a dll e usa as funções internas do TeamViewer para propósitos próprios.

Ferramentas como Dependency Walker e Monitor de API da Rohtap seria útil para rastreá-lo.

    
por 30.12.2014 / 18:44