0

Вирусы снова научились удалять антивирусы

Егор Егоров

14 декабря 2010 года Компания «Доктор Веб» сообщает о выявлении нового метода противодействия работе антивирусов. Несмотря на то что несколько лет назад большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы. Один из таких методов реализован в троянце Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети «В Контакте». Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1. После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса. После того как поиск завершен, производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов. Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались. После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут. После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой. При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создаётся иллюзия, что антивирусная защита системы продолжает работать в штатном режиме. В настоящее время пользователи всех антивирусных продуктов Dr.Web для Windows защищены от Trojan.VkBase.1 и других вредоносных программ, которые могут использовать подобные схемы противодействия антивирусам. [ССЫЛКА]

Нет комментариев

Авторизуйтесь через социальную сеть для добавления комментария.

© 2001-2024 Сетевое издание «Псковское агентство информации».
18+

Полное использование материалов сайта
без письменного согласия редакции запрещено.
При получении согласия на полное использование материалов сайта, а также при частичном использовании отдельных материалов сайта ссылка (при публикации в сети Internet — гиперссылка) на сайт «Псковского агентства информации» обязательна.

Регистрационный номер СМИ ЭЛ № ФС77-76355 от 02.08.2019, выданный Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Учредитель (соучредители): Администрация Псковской области, Автономная некоммерческая организация Издательский дом "МЕДИАЦЕНТР 60"


Контакты редакции:

Адреc180000, Псковская область, г. Псков, Ленина, д.6а Телефон(8112) 72-03-40
Телефон/факс(8112) 72-29-00 Emailredactor@informpskov.ru

Главный редактор - Александр Юрьевич Машкарин, Креативный редактор — Алена Алексеевна Комарова


Прайс-лист на размещение рекламы и техтребования

Прайс-лист и техтребования на размещение рекламы в мобильной версии сайта

Реклама
на сайте
8(8112)56-36-11, +7(900)991-77-20, телефон/факс 8(8112)57-51-94
n.vasilieva@mh-pskov.ru
Рейтинг@Mail.ru
Идет загрузка...