Hackeando a Teamviewer, el dice si, yo digo no

El aplicativo TeamViewer es una herramienta que sirve para hacer soporte técnico a distancia. En su versión TeamViewer Quick support el muy desgraciado queda instalado como un servicio, en modo arranque automático en windows, así que vamos a explicarte como eliminar todo rastro del programa una vez que nos desconectamos de la persona a la que estamos haciendo soporte.

TeamViewer
Esta es la versión full, se instala en el PC como cualquier programa, se carga como un servicio, queda activo siempre en memoria como un servicio y aparece en desinstalar programas. Si no deseas que TeamViewer esté activo todo el tiempo en la memoria del PC, para solucionarlo puedes hacer cualquiera de las dos opciones:

  1. Inicio > Servicios > Teamviewer > Detener > Deshabilitar
  2. Inicio > Panel de control > Agregar y quitar programas > Desinstalar > Teamviewer

TeamViewer Quick Support

No se instala, es un simple ejecutable que se carga en la memoria del PC como un proceso, no aparece en desinstalar programas. Lo práctico de ello es que al reiniciar el PC ya no debería estar cargado en memoria pero esto no es así..

Hackeando a Teamviewer
Investigando su comportamiento me he encontrado con una sorpresa si seleccionas reiniciar el pc y mantenerme conectado.

1. Queda como un proceso en memoria.

2. Se agregar en el registro de Windows
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\TeamViewer
HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer
HKEY_CURRENT_USER\Software\TeamViewer

3. Se descomprime en la carpeta “Temp” del usuario y crea varias carpetas.
C:\Users\%username%\AppData\Local\Temp\TeamViewer
C:\Users\%username%\AppData\Roaming\TeamViewer

4. Se agrega como un servicio con arranque automático.
Esto sucede cuando seleccionamos la opción mantenerme conectado, para los que nos dedicamos a seguridad y entendemos sobre troyanos sabemos que esto es tener persistencia en el sistema. Ahora si nos desconectamos TeamViewer estará cargado en memoria siempre en la PC de nuestro cliente.

 

Algunas preguntas que suenan en mi cabeza
¿porque TeamViewer que no provee un desinstalador?
¿acaso nos espía?
¿Tendrán una llave maestra que podrían conectarse a cualquier PC en el mundo?

¿Como solucionarlo?
Para ello decidí hacer un script al que llamé TeamviewerCleaner_v2.0.bat para windows, el cual comparto con la comunidad. Este script lo deberás ejecutar como administrador antes de salir del PC que estés conectado remotamente.

A continuación las tareas que ejecuta el script.

  1. Detiene el servicio TeamViewer.
  2. Mata los procesos en memoria de TeamViewer.
  3. Elimina servicio TeamViewer12 en el registro de windows.
  4. Elimina los archivos temporales del usuario,
  5. Elimina los archivos temporales de windows.
  6. Elimina los archivos temporales de Internet Explorer.
  7. Elimina los archivos de telemetría de Firefox.

Copia el siguiente texto en un bloc de notas y guárdalo con extensión archivo.bat
Para ejecutarlo haz clic con botón derecho selecciona “Ejecutar como administrador”.

TeamviewerCleaner v2.0 – Profesional Edition

rem # TeamViewerCleaner v2.0
rem # @Version		Profesional Edition
rem # @Deployer		Windows vista,7/8/10
rem # @Date		08/07/2017
rem # @License		http://www.gnu.org/licenses/gpl.txt  GNU GPL 3.0
rem # @Author		Eduardo Natali 
rem # @Link		https://www.rootsolutions.com.ar/hackeando-a-teamviewer-el-dice-si-yo-digo-no/
rem # @Twitter		http://twitter.com/enatali_ 
rem # @Contact		https://www.rootsolutions.com.ar
cls
@echo off
color A
echo     #####################################################################
echo     ###                                                               ###
echo     ###                   Root Solutions - Argentina                  ###
echo     ###                                                               ###
echo     ###                Soluciones IT y Ciberseguridad                 ###
echo     ###                                                               ###
echo     ###     "Limpiador de TeamViewer Quick Support y Temporales"      ###
echo     ###                                                               ###
echo     ###   TeamViewerCleaner v2.0                                      ###
echo     ###   Version  Profesional Edition                                ###
echo     ###   Author   Eduardo Natali                                     ###
echo     ###   http://twitter.com/enatali_                                 ###
echo     ###   www.rootsolutions.com.ar    contacto@rootsolutions.com.ar   ###
echo     ###                                                               ###
echo     #####################################################################
echo.

rem     ### Detiene el servicio de teamviewer
net stop teamviewer
echo.
echo.
echo.
TIMEOUT 8

rem     ### Mata los procesos en memoria de teamviewer
TASKKILL /F /IM TeamViewer.exe & TeamViewer_Desktop.exe 
TIMEOUT 5

rem     ### Elimina del registro de windows el servicio teamviewer
reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\TeamViewer /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer /f
reg delete HKEY_CURRENT_USER\Software\TeamViewer /f
TIMEOUT 5
rem     ### Borra la carpeta de logs de teamviewer
rmdir /S/Q C:\Users\%username%\AppData\Roaming\TeamViewer


rem     ### Borra archivos temporales en todas las carpetas temp del usuario y windows
cd C:\Users\%username%\AppData\Local\Temp\
rmdir /S /Q .

cd C:\Users\%username%\AppData\LocalLow\Temp\
rmdir /S/Q .

cd C:\Users\%username%\AppData\Local\Microsoft\Windows\Temporary Internet Files\
rmdir /S/Q .


rem     ### Borra archivos de reportes de telemetria de firefox
cd C:\Users\%username%\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\saved-telemetry-pings
rmdir /S/Q .

cd C:\Users\%username%\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\datareporting\archived
rmdir /S/Q .

rem     ### Muestra la siguiente pantalla para la version Profesional Edition
cls
echo.
echo.
echo.
echo.
echo.
echo.                        Tareas finalizadas con exito!
echo.
echo.
echo.
echo.                          Que tenga un buen dia!
echo.
echo.
echo.
echo.                     visite www.rootsolutions.com.ar
echo.
echo.
echo.
echo.
echo.
echo.
TIMEOUT 10

 

TeamviewerCleaner v2.0 – Hacker Edition

rem # TeamViewerCleaner v2.0
rem # @Version		Hacker Edition
rem # @Deployer		Windows vista,7/8/10
rem # @Date		08/07/2017
rem # @License		http://www.gnu.org/licenses/gpl.txt  GNU GPL 3.0
rem # @Author		Eduardo Natali <contacto@rootsolutions.com.ar>
rem # @Link		https://www.rootsolutions.com.ar/hackeando-a-teamviewer-el-dice-si-yo-digo-no/
rem # @Twitter 		http://twitter.com/enatali_ 
rem # @Contact 		https://www.rootsolutions.com.ar
cls
@echo off
color A
echo      #####################################################################
echo      ###                                                               ###
echo      ###                   Root Solutions - Argentina                  ###
echo      ###                                                               ###
echo      ###                Soluciones IT y Ciberseguridad                 ###
echo      ###                                                               ###
echo      ###      "Limpiador de TeamViewer Quick Support y Temporales"     ###
echo      ###                                                               ###
echo      ###   TeamViewerCleaner v2.0                                      ###
echo      ###   Version  Hacker Edition                                     ###
echo      ###   Author   Eduardo Natali                                     ###
echo      ###   License  GNU GPL 3.0                                        ###
echo      ###   Date     08/07/2017                                         ###
echo      ###   http://twitter.com/enatali_                                 ###
echo      ###   www.rootsolutions.com.ar    contacto@rootsolutions.com.ar   ###
echo      ###                                                               ###
echo      #####################################################################
echo.

rem     ### Detiene el servicio de teamviewer
net stop teamviewer
echo.
TIMEOUT 8

rem     ### Mata los procesos en memoria de teamviewer
TASKKILL /F /IM TeamViewer.exe & TeamViewer_Desktop.exe 
TIMEOUT 5

rem     ### Elimina del registro de windows el servicio teamviewer
reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\TeamViewer /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer /f
reg delete HKEY_CURRENT_USER\Software\TeamViewer /f
TIMEOUT 5

rem     ### Borra la carpeta de logs de teamviewer
rmdir /S/Q C:\Users\%username%\AppData\Roaming\TeamViewer


rem     ### Borra archivos temporales en todas las carpetas temp del usuario y windows
cd C:\Users\%username%\AppData\Local\Temp\
rmdir /S /Q .

cd C:\Users\%username%\AppData\LocalLow\Temp\
rmdir /S/Q .

cd C:\Users\%username%\AppData\Local\Microsoft\Windows\Temporary Internet Files\
rmdir /S/Q .


rem     ### Borra archivos de reportes de telemetria de firefox
cd C:\Users\%username%\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\saved-telemetry-pings
rmdir /S/Q .

cd C:\Users\%username%\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\datareporting\archived
rmdir /S/Q .

rem     ### Muestra la siguiente pantalla para la version Hacker Edition
cls
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     ######################## Hack The Planet! ###########################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo     #####################################################################
echo.
TIMEOUT 10