[Blaze]

Report by Laboratory of Cryptography and System Security (CrySyS Lab):
http://www.crysys.hu/teamspy/teamspy.pdf

[onthar]

I have old sample from summer 2011
It called spyTV.

Web panel not included.

[grum]

http://rghost.net/41624868

panel+bin+base , bin not cracked

250$ private ver buy by coder 2010 ! havefun with it's

[grum]

The TeamSpy Crew Attacks - Abusing TeamViewer for Cyberespionage

http://www.securelist.com/en/downloads/ ... nal_t2.pdf

[R136a1]

Here are a few new versions. The droppers are mostly self-extracting RAR archives which contain a legit version of Teamviewer (v7) and a parasitic file named msimg32.dll. It seems to have kind of new UAC bypass method on board, but haven't checked in detail.

Strings of msimg32.dll:

Code: Select all

F123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz
IsWow64Process
kernel32.dll
\Policies\System
\CurrentVersion
\Windows
\Microsoft
Software
%s%s%s%s%s
EnableLUA
ConsentPromptBehaviorAdmin
ConsentPromptBehaviorUser
PromptOnSecureDesktop
Off (0)
High (3)
Default (2)
Low (1)
Microsoft USB 3.0 Hub Control Service
Microsoft USB 3.0 Hub
MsHubSvc
usbhubsvc3
tvrraddons.bat
tvraddons.bat
addons.bac
addons.cab
wuac_x64.exe
wuac_w32.exe
svpn.exe
TeamViewerVPN.inf
teamviewervpn.cat
teamviewervpn.sys
TeamViewer7_Logfile.log
TeamViewer7_Hooks.log
tvr.cfg
msimg32.dll
tv.ini
TeamViewer.ini
vpn64.cab
vpn86.cab
tvr.cab
tv_x64.dll
tv_w32.dll
tv_x64.exe
tv_w32.exe
TeamViewer_Desktop.exe
TeamViewer_Resource_en.dll
TeamViewer_StaticRes.dll
0.3.1.7c
AlphaBlend
DllInitialize
GradientFill
TransparentBlt
vSetDdrawflag
%s_%u%d
%%SYSTEMROOT%%\system32\svchost.exe -k %s -svcr %s
Software\Microsoft\Windows NT\CurrentVersion\Svchost
AuthenticationCapabilities
CoInitializeSecurityParam
SYSTEM\CurrentControlSet\Services\%s\Parameters
ServiceDLL
ServiceDllUnloadOnStop
ServiceMain
.dll*
*.tvrp
COMSPEC
start /B 
/wait 
Mozilla/5.0 (Windows NT 5.1)
uniq=%lu
id=%s
stat=%d
cmd=%d
tout=%d
vpn=%d
HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Connection: close
Idle-time: %02u:%02u:%02u
needmore
tvrv=%s
osbt=%d
avr=%s
uname=%s
cname=%s
osv=%u.%u
osbd=%u
ossp=%u.%u
elv=%d
rad=%d
agp=%d
ulv=%u
devicea=%d
devicev=%d
remove
"%s%s" %s %s
missing
device is
%s %s
available
start
%02u:%02u:%02u
%02u.%02u.%04u %02u:%02u:%02u
Language: %s
Country: %s (%s)
Phone code: %s
Keyboard:
PID: %u
Title: %s
Path: %s
\Uninstall
DisplayName
Publisher
%s (%s)
 (x64)
 (Win32)
%s  PID:%u%s
Version: %u.%u%s
Build: %u
Service Pack: %u.%u
UAC LVL: %s
Elevated: %s
RunAsAdmin: %s
AdminGroup: %s
%s version: %s
addons
rundll32.exe "
",FUAC "
@echo off
cd /d "%s"
ping 1.1.1.1 -n 1 -w %u
sc stop "%s"
sc delete "%s"
call "%s"
-a -h -s -r
attrib
%s %s 
/f /q
/s /q
set FL_LST=(
for %%i in %FL_LST% do (
%s %s %s
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
goto theEnd
:do_clear
wevtutil.exe cl %1
goto :eof
:theEnd
%s %s %%0
Shell_TrayWnd
%s%s\%s.%s
-show
timeout
closed. exitcode: %u (%s)
error
%s_%lu
unknown command
%s%s%s
system32\
SysWOW64\
cmd.exe
/c start "" %s
shell32.dll
regsvr32.exe" /s "
MachineGuid
Software\Microsoft\Cryptography
%u%u%u%s%s
"%s%s" install "%s%s" %s
Source Video
Static
ComboBox
Tahoma
"%s%s" %s
--action hooks --deferlog --log   
QueryFullProcessImageNameA
GetVolumeInformationW
CreateDirectoryW
SetCurrentDirectoryW
CreateMutexW
CreateProcessW
GetStartupInfoA
GetDriveTypeW
GetCommandLineW
GetCommandLineA
MoveFileExW
gdi32.dll
BitBlt
user32.dll
MoveWindow
SetWindowLongW
LoadStringW
TrackPopupMenuEx
GetLayeredWindowAttributes
GetClassInfoExW
RegisterClassExW
SetWindowTextW
CreateWindowExW
ShowWindow
CreateDialogParamW
DialogBoxParamW
LoadIconW
IsWindowVisible
SetWindowPos
SystemParametersInfoW
MessageBoxA
MessageBoxW
advapi32.dll
RegCreateKeyExW
RegOpenKeyExW
Shell_NotifyIconW
ShellExecuteW
iphlpapi.dll
GetAdaptersInfo
wininet.dll
InternetOpenW
WinSta0\Default
%s_%u
-svcr
%s_%s
comctl32.dll
TaskDialogIndirect
RtlCompareMemory
RtlZeroMemory
RtlDecompressBuffer
RtlMoveMemory
RtlAdjustPrivilege
RtlGetNtVersionNumbers
NTDLL.dll
CreateFileA
SetFilePointer
HeapAlloc
HeapFree
GetProcessHeap
WriteFile
ReadFile
CreateFileW
GetLastError
CloseHandle
lstrcpyW
lstrcpyA
GetModuleFileNameA
GetFileSize
lstrlenA
InitializeCriticalSection
LeaveCriticalSection
lstrcatA
lstrcmpiA
EnterCriticalSection
DeleteCriticalSection
WideCharToMultiByte
MultiByteToWideChar
lstrcmpA
VirtualFree
VirtualAlloc
FreeLibrary
GetProcAddress
LoadLibraryA
VirtualProtect
VirtualQuery
GetThreadContext
HeapReAlloc
SetThreadContext
GetCurrentProcess
InterlockedCompareExchange
Thread32First
Sleep
HeapDestroy
HeapCreate
Thread32Next
FlushInstructionCache
InterlockedExchange
OpenThread
CreateToolhelp32Snapshot
GetCurrentThreadId
GetCurrentProcessId
SuspendThread
ResumeThread
GetModuleHandleA
lstrcatW
ExitProcess
GetCommandLineW
GetComputerNameA
IsBadStringPtrW
TryEnterCriticalSection
GetLocaleInfoA
MapViewOfFile
UnmapViewOfFile
MoveFileExA
SetErrorMode
LoadLibraryExW
InterlockedIncrement
InterlockedDecrement
GlobalSize
GlobalLock
GetUserDefaultLCID
WaitForSingleObject
SleepEx
GetTickCount
ExpandEnvironmentStringsA
GetWindowsDirectoryA
GetCommandLineA
OpenProcess
GlobalAlloc
GetSystemDirectoryW
GetVolumeInformationA
GetFileAttributesA
GetExitCodeProcess
GetFileAttributesW
CreateProcessA
IsBadWritePtr
TerminateProcess
GetSystemDirectoryA
GetEnvironmentVariableA
lstrcmpW
lstrlenW
IsBadStringPtrA
GlobalUnlock
SetCurrentDirectoryA
FindFirstFileA
SetLastError
SetFileAttributesA
DisableThreadLibraryCalls
GlobalFree
FindClose
GetLocalTime
OpenMutexA
Process32Next
CreateFileMappingA
LocalAlloc
FindNextFileA
WTSGetActiveConsoleSessionId
lstrcmpiW
CreateMutexA
SetProcessShutdownParameters
ReleaseMutex
GetVersionExA
LocalFree
DeleteFileA
CreateThread
KERNEL32.dll
wsprintfW
wsprintfA
FindWindowA
FindWindowExA
MoveWindow
GetWindowThreadProcessId
GetKeyboardLayoutList
SetClipboardViewer
SetWindowTextW
GetDlgCtrlID
CallWindowProcA
SetClipboardData
PrintWindow
SetWindowTextA
OpenClipboard
PostMessageA
IsWindow
ShowWindow
SetLayeredWindowAttributes
GetLastInputInfo
LoadStringW
SetWindowPos
GetDlgItem
ChangeClipboardChain
EmptyClipboard
ReleaseDC
GetClipboardData
GetWindowLongA
CharLowerA
SetWindowLongA
GetWindowTextA
CreateDialogIndirectParamA
GetForegroundWindow
GetDC
EnumWindows
SendMessageA
ExitWindowsEx
GetClientRect
FindWindowW
WaitForInputIdle
GetParent
SetForegroundWindow
PostThreadMessageA
SetActiveWindow
GetClassNameA
CloseClipboard
DestroyWindow
USER32.dll
strchr
??3@YAXPAX@Z
malloc
strstr
??2@YAPAXI@Z
strtok
wcsstr
fopen
fprintf
fclose
MSVCRT.dll
_XcptFilter
_initterm
_amsg_exit
PathFindFileNameW
PathRemoveFileSpecW
PathAddBackslashW
PathRemoveFileSpecA
PathFindFileNameA
PathAddBackslashA
PathRemoveExtensionA
PathStripToRootW
StrStrW
SHDeleteValueA
SHDeleteKeyA
PathQuoteSpacesA
PathUnquoteSpacesA
StrCmpNA
StrCmpNW
SHLWAPI.dll
GetModuleFileNameExA
PSAPI.dll
WTSQueryUserToken
WTSFreeMemory
WTSEnumerateSessionsA
WTSAPI32.dll
CreateEnvironmentBlock
DestroyEnvironmentBlock
USERENV.dll
MapFileAndCheckSumA
IMAGEHLP.dll
HttpQueryInfoA
InternetOpenUrlA
InternetConnectA
InternetCrackUrlA
InternetSetOptionA
HttpOpenRequestA
InternetGetConnectedState
HttpAddRequestHeadersA
HttpSendRequestA
InternetOpenA
InternetCloseHandle
WININET.dll
TextOutA
GetPixel
CreateCompatibleBitmap
CreateCompatibleDC
SelectObject
DeleteObject
SetBkColor
CreateFontA
DeleteDC
SetTextColor
GDI32.dll
CryptGetHashParam
CryptReleaseContext
CryptAcquireContextA
CryptCreateHash
CryptDestroyHash
CryptHashData
RegSetValueExA
RegQueryValueExA
RegCreateKeyExA
RegOpenKeyExA
RegCloseKey
OpenProcessToken
GetTokenInformation
DuplicateToken
AllocateAndInitializeSid
FreeSid
CheckTokenMembership
CreateWellKnownSid
CreateProcessAsUserA
OpenServiceA
CloseServiceHandle
SetEntriesInAclA
SetNamedSecurityInfoA
ChangeServiceConfig2A
CreateServiceA
InitializeSecurityDescriptor
RegEnumKeyExA
StartServiceA
SetSecurityDescriptorDacl
RegisterServiceCtrlHandlerExA
DuplicateTokenEx
SetServiceStatus
OpenSCManagerA
GetUserNameA
GetServiceDisplayNameA
GetNamedSecurityInfoA
ADVAPI32.dll
CryptBinaryToStringA
CRYPT32.dll
SHCreateDirectoryExW
ShellExecuteExW
SHGetSpecialFolderPathA
SHCreateDirectoryExA
ShellExecuteW
CommandLineToArgvW
SHELL32.dll
CABINET.dll
OLEAUT32.dll
CoUninitialize
CoInitialize
CoCreateInstance
CoSetProxyBlanket
CoInitializeSecurity
CoInitializeEx
OLE32.dll
RtlUnwind
QueryPerformanceCounter
GetSystemTimeAsFileTime
UnhandledExceptionFilter
SetUnhandledExceptionFilter
msimg32.dll
AlphaBlend
DllInitialize
DllRegisterServer
GradientFill
TransparentBlt
vSetDdrawflag
ServiceMain

ROOT\SecurityCenter
SELECT * FROM AntiVirusProduct
displayName
s12345678
"%s" --PWU "%s"
Software\TeamViewer
tvshell
tvrun
tooltips_class32
TVMainThreadCall
TeamViewer
DynGateInstanceMutex
%s%s%lu
CInfoWindow
BuddyWindow
DynGate)
\TeamViewer\
--action
hooks
--deferlog
cmd.exe
runas
DFDWiz.exe
System
<a href="http://windows.microsoft.com/en-us/windows-vista/check-your-hard-disk-for-errors">
/c start /B "" "%s" wait
@echo off & echo 
pause

Analysed dropper downloaded from: sahalinenergy.ru/tv_sfx.bmp

C&C login panel on cybersis.eu:

cybersis.jpg (17.06 KiB) Viewed 754 times

Parasitic file attached.

Because the droppers are too big to attach, only file hashes are given.


Analysed dropper (SHA-256):
a94f8d48732c018366427921dfe55bb03a12f335feb20ba32af40d0a6bf0bbe2

More droppers (SHA-256):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[grum]

not tvspy it's tvrat last version
anybody can help decode config file "tvr.cfg"

[tWiCe]

not tvspy it's tvrat last version
anybody can help decode config file "tvr.cfg"

Oh, really? If it is self-called TVRAT, it doesn't mean that it's known by AV vendors / researches with the same name.

@cfg : it's should be easy task for you, isn't it? (hint: it's XORed)

[Xylitol]

tvrat, tvspy, SpY-Agent or teamspy is the same thing.

https://www.damballa.com/tvspy-threat-a ... reappears/
https://twitter.com/loucif_kharouni/sta ... 4648851456

here an old sample:
http://vxvault.net/ViriList.php?IP=31.192.105.24
downloader: https://www.virustotal.com/en/file/5688 ... 455205453/
tvspy: https://www.virustotal.com/en/file/92bb ... 455204588/

pics drop:


Advert (may have changed since time):

Code: Select all

И снова здравствуйте! Для тех кто уже ранее пользовался этим софтом и приятно
    будет познакомиться с теми,кто все-таки решиться приобрести это хорошее
    средство для специфических задач!Шпионский комплект на основе TeamViewer опять
    в строю.Базируется по прежнему на 6 версии "QuickSupport",но более
    свежим билдом с сайта разработчика.К общему сведению хотелось бы сказать,что
    цифровые подписи для всех версий TV имеют особенность обновляться и это
    немаловажный плюс для последующего апдейта ключевых файлов.
    Оригинальные возможности программы в описаниях как бы не нуждаются,поэтому
    коснемся только главных моментов и обрисуем надстройку над основным софтом,что
    дополняет функциональности,контролирует поведение tv и представляет собой бота
    в форме динамической библиотеки.
     
    Основные характеристики и полезная нагрузка:
    - Работа на десктопных и серверных осях x32,x64.
    - Нет требует прав,не вызывает UAC.
    - Файлы скрытые и системные.
    - Лояльность ав,статика и проактивок,заноситься в доверенные.
    - Шифрованное тело бота,код и данные.Поэтому в крипте практически не нуждается и живет очень долго,высокий отстук.
    - Портабельность.В реестр практически ничего не пишется,только автозагрузка и при опциональной установки впн адаптера.
    - Не создает папок и лог файлов.
    - Шифрованный конфиг для необходимых,изменяемых опций.
    - Одновременные сессии к двум разным tv на одной машине (опционально).
    - Скрытая установка впн адаптера(требуются админ права),нет отображения в сетевых подключениях и диспетчере устройств.Незаметное подключение.
    - Беспалевный запуск дроппера.В том числе не вызывает вопросов у киса,как это в большинстве своем бывает с выводом мессаги "Разрешить,или нет".
    - Для первоначального старта,совсем не обязательно собирать полностью все файлы,а достаточно основных.Остальные скачаются автоматом.
    - Плагинная система.Можно создавать свои,или использовать чужие.Храняться в зашифрованном виде и запускаются из памяти.Формат плагинов открыт.Только x32.
    - Плагином может являться любой софт в формате .dll,или .exe с обязательной таблицей релоков.При отсутствии экспорта вызываются напрямую (только .dll),либо заворачиваются в обертку(.exe,.dll).
    - Таким образом производиться запуск из памяти доверенного процесса tv,под защитой репутации и цп этого софта.Своебразный зонтик.
    - Бесплатным примером предоставляются исходники плагина,что является оберткой над паблик внс "VNCDLL" от карберпа,без бк,подключиться возможно только по прямому соединению через впн.Если у кого имеется более свежая версия и с бк,
    то реализация будет такая же.
    - Админ-панель.
    - Просмотр веб-камеры (опционально).
    - Прослушка с микрофона (опционально).
    - Запуск файла из файл-менеджера tv (опционально).
    - Бекконект cмд шелл.
    - Интервальный отстук.
    - Выключение.
    - Перезагрузка.
    - Загрузка и запуск файла
    - Загрузка плагина
    - Удаление плагина
    - Рестарт tv
    - Проверка наличия веб-камеры
    - Удаление всех файлов tv и вспомогательных файлов и записи в реестре.
    - Смена пароля и идентификатора tv.
    - Обновление конфига и бота.
    - Возможность добавления еще одного пароля на выполнение команд из админки.
    - Редактирование опций конфига через команды из админки.
    - итд...итп.
     
    Админка:
    - Id, ip, страна, флаг наличия камеры, статус..
    - Три таймера формата:
    Дата&врмя начала неактивности| Счетчик (показывается сколько минут и секунд холдер неактивен) | Дата&время конца неактивности
    - Строка для ввода комментария
    - Строка для ввода команд, сигнализатор выполнения
    - Сортировка по всем параметрам (по возрастанию, убыванию)
    - Каталоги для сортировки..
     
    Примечания:
    Для установки админ-панели требуется хостинг с мускулом и кроном.В
    админку высылается только идентификатор,пасс на подключение задается в конфиге
    по вашему усмотрению.Админку устанавливаете самостоятельно,Проблем возникнуть
    не должно.Потому как все очень просто.Билдера нет,это конструктор,собирается
    из компонентов любыми доступными способами.При покупке среди прочих файлов,
    поставляется уже готовый билд и обговаривается индивидуально.В дальнейшем,все
    необходимые шаги при конфигурации и созданию установочного файла постарайтесь
    предпринимать без моего участия.Суммарный вес сборки в полном
    комплекте варьируется в приделах до 3 мб.Софт привязывается к домену,или ип
    адресу,а конфиг зашифровывается на данные машины при инссталяции.То есть при
    переносе на другую,расшифровать конфиг уже вряд ли получиться.При покупке
    сообщаете мне домен,или ип адрес по которому будет размещаться админка.Только в
    этом случае я смогу собрать для вас билд.При другом варианте,если желаете скрыть
    от меня вышеуказанные данные,то говорите MD5 hash от названия домена,или ип адреса
    а сам домен,или ип адрес прописываете в опциях конфига самолично и соответственно
    билдить уже будете своими руками.После решения всех формальностей и оплаты я высылаю
    архив со всеми необходимыми файлами и инструкциями.
     
     
    Цена на комплект составляет 400$
    Смена на новый домен 30$
    На данный момент оплата только Perfect Money,Bitcoin
     
    Контакт: ************
    Желательно OTR,PGP.
     
    PS: К сожалению в сети я бываю в основном по вечерам.