Компьютерный портал
Новости Статьи Драйверы Windows 10 Windows 11 Софт Форум
Популярное на форуме
Последние новости
Оформление Windows
16.12.2010  13:10
Просмотров: 6500


Вирусы снова умеют удалять антивирусы

Категория: Новости Software,  Автор: -=AMA=-
Шрифт: + - 

Компания «Доктор Веб» сообщила о выявлении нового метода противодействия работе антивирусов. Несмотря на то что несколько лет назад большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы

Один из таких методов реализован в троянце Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети «В Контакте».
Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1.

После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса.
После того как поиск завершен, производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов.
Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались.
После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут.
После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой. При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создаётся иллюзия, что антивирусная защита системы продолжает работать в штатном режиме.

В настоящее время пользователи всех антивирусных продуктов Dr.Web для Windows защищены от Trojan.VkBase.1 и других вредоносных программ, которые могут использовать подобные схемы противодействия антивирусам.

Источник: Dr. Web



Материалы по теме:

8 комментариев, сортировать

Аватар hawk496
hawk496    20.05.2011 в 02:38 Ссылка
а где поймал его не помнишь?
Аватар gordon1955
gordon1955    05.01.2011 в 13:55 Ссылка
А насчет того , что вирусы удаляют Антивирус в вашем компьютере , может у кого то и было ,но у меня произошло следующее.
Сам антивирус не удалил , а удалил только свеже обновленные базы и вписал туда какие-то левые.
И если запустить антивирус не заметив , что базы левые , то он этого трояна не выловит и не удалит
Аватар gordon1955
gordon1955    05.01.2011 в 13:15 Ссылка
Недавно я поймал TrojanWinlock заблокировавший мне рабочий стол, там требовалось пложить на мегафоновский номер 400 руб.
Как разблокировать , нашел только на сайте Касперского.
Необходимо было нажать одновременно 3(три) клавиши Ctrl+Shift+Esc , и удерживать до тех пор пока не выйдет
мигающее окно диспетчера задач .
Затем курсор мышки наводите на строку '' Форма 1 '' и кликаете по ней пока она не выделится .
Далее жмете на ''Снять задачу'' и после этого окно диспетчера перестанет мигать .
Теперь можно отпускать эти 3(три) клавиши
Аватар Рпг
Рпг    26.12.2010 в 12:22 Ссылка
Рекламы нет....Но если почитать между строк,то просматривается.Я не думаю что в лаборатории касперыча,все почивают на лаврах.

И еще,это уже не первая статья,в которой я замечаю что именно "вэбовцы" как первоклассник который выучил урок,и тянет руку.Типа-а вот Я!!!!!Не то что некоторые!

Аватар Anton-D-NE71
Anton-D-NE71    16.12.2010 в 21:17 Ссылка
Тупая рекламма
Аватар Drinko
Drinko  Администратор    16.12.2010 в 21:26 Ссылка
Где Вы тут увидели рекламу?
Аватар Anton-D-NE71
+1  Спам
Anton-D-NE71    17.12.2010 в 14:33 Ссылка
Только доктор веб остановил этот троян, остальные антивиры фуфло - так переводится этот текст
Нет аватара
WOOPH    19.12.2010 в 17:27 Ссылка
Я попал под действие этого вируса. Trojan.VkBase.1. Ничем не ловится,стирается вручную! Через восстановление безопастного режима и ДЗ.
Потом CureItом стирается
Поделитесь своим мнением


Опрос
Нравятся ли вам изменения произошедшие в Windows 10?
Всего ответов: 8507
Статистика

Онлайн всего: 23
Гостей: 18
Пользователей: 5
Lukavyi, un_shara, Motobot, viktorianad, jackkhoros