De backdoor wordt geïnstalleerd via malware genaamd Trojan.MulDrop6.39120. Dit Trojaanse paard wordt samen met een legitieme versie van de Flash player verspreid op het internet. Als het slachtoffer eenmaal besmet is, begint MulDrop met het installeren van de TeamViewer-trojan.

Deze aangepaste versie van TeamViewer heeft een gemodificeerde versie van avicap32.dll aan boord die ervoor zorgt dat de besmette computers verbinding maken via een versleuteld kanaal naar de command & control-server van de cybercriminelen.

Geen gegevens gestolen

De Trojan is vorige week ontdekt door onderzoekers van de virusscanner, DR.Web. De onderzoekers geven verder aan dat de onderzochte versies geen gegevens stelen van de slachtoffers. De aangepaste TeamViewer is zo ingericht dat deze zich alleen gedraagt als Web proxy. Al het verkeer dat de trojan ontvangt van de c&c-server wordt gerouteerd waardoor het echte ip-adres van de criminelen verborgen blijft.