Вирусы снова научились удалять антивирусы

image

Теги: Доктор Веб, вирус, вредоносное ПО

Компания «Доктор Веб» сообщила  о выявлении нового метода противодействия работе антивирусов.

Компания «Доктор Веб» сообщила о выявлении нового метода противодействия работе антивирусов. Несмотря на то что несколько лет назад большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы.

Один из таких методов реализован в троянце Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети «В Контакте».

Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1.

После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса.

После того как поиск завершен, производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов.

Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались.

После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут.

После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой. При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создаётся иллюзия, что антивирусная защита системы продолжает работать в штатном режиме.

В настоящее время пользователи всех антивирусных продуктов Dr.Web для Windows защищены от Trojan.VkBase.1 и других вредоносных программ, которые могут использовать подобные схемы противодействия антивирусам.


или введите имя

CAPTCHA
Страницы: 1  2  3  
36433
15-12-2010 17:18:59
Не могли взять нормальное тех. описание с того же др веба... После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса. или При запуске троянца (исполняемый файл запускается без параметров) выводится окно, внешне напоминающее интерфейс Проводника Windows с содержащимися необходимыми приватными сведениями. Затем программа устанавливает себя в систему в качестве сервиса с именем zipdrivers. После этого созданный сервис запускается и производит поиск установленных в системе антивирусных продуктов. Если был найден один из антивирусных продуктов Dr.Web для Windows, то с вредоносного интернет-сервера скачивается дополнительный модуль, определяемый Dr.Web как Trojan.AVKill.2942.
0 |
96087
15-12-2010 17:20:06
А вывод один, не сидите под админами и живите спокойно...
0 |
Роман
15-12-2010 17:23:35
Хомяку не объяснить, что работа под админом потенциально опасна. Он хочет полнотсью "контролировать" систему, ставить игрульки и тут же их запускать. Из одной учетки. Вот и жесть
0 |
MemФs
15-12-2010 17:57:41
Лучший компьютерный антивирус - в голове пользователя. До тех пор, пока существуют пользователи, способные запускать у себя на компьютере сомнительный файлы, такие вирусы будут существовать. Тем более, что в крайнем случае можно пытаться развести пользователя на временное отключение антивируса (вроде "Производится обновление модулей системы" -> "Программа обновления обнаружила, что у Вас запущен антивирус %AntiVir_Name%. Рекомендуется выключить антивирус, так как он может помешать обновлению системы. Пожалуйста, сделайте это сейчас. В противном случае работоспособность программы не гарантируется") И всё.
0 |
нонейм
15-12-2010 19:04:56
автору вируса зачёт
0 |
10174
16-12-2010 03:39:50
антивирусу зачёт
0 |
геьоы
15-12-2010 20:19:46
Что там с ними бороться - переводишь время на год, антивирус думает, что лицензия закончилась и всего делов.
0 |
15-12-2010 20:35:27
.. при этом он перестает обновляться, но продолжает работать. Интересно, сколько СМС отправил DrWEB прежде чем разобрался в "иллюзиях" это вируса? ИМХО. Секлаб не рекламит DrWEB, а просто пытается быстро (как ему кажется) разместить новость.
0 |
15-12-2010 20:43:11
Интересно, сколько СМС отправил DrWEB прежде чем разобрался в "иллюзиях" это вируса?Нисколько. Представь себе, вся малварь спокойно реверсится без всяких смс.
0 |
16-12-2010 00:27:00
Представляю. Сделал пометочку ИМХО, потому что считал и буду считать DrWEB антивирусом уровня курсовой работы и имею все основания для таких заключений. На личном опыте и опытной эксплуатации в промышленных масштабах.
0 |
Неофит
16-12-2010 00:51:54
А какой антивирусный пакет Вы бы посоветовали для локальной сети из трёх подсетей с количеством рабочих станций 3Х100 и количеством серверов 12. (Плюс два шлюза в интернет и почтовый сервер)?
0 |
vasya_pupkin
16-12-2010 05:00:52
ClamAV... Чистая тачка, спокойный админ)))
0 |
D3m0n
17-12-2010 15:36:17
Под линухом, естессно. Хавп рулит, Вася +100500
0 |
Страницы: 1  2  3