Віруси знову навчилися видаляти антивіруси

admin Новини ІТ-безпеки

Trojan.VkBase.1Компанія «Доктор Веб» повідомила про виявлення нового методу протидії роботі антивірусів. Незважаючи на те, що кілька років тому більшість антивірусних вендорів включили до складу своїх продуктів модулі самозахисту, автори сучасних шкідливих програм як і раніше знаходять способи видалення компонентів антивірусного захисту з системи.

Один з таких методів реалізований в троянці Trojan.VkBase.1. У пошуках чиїх-небудь приватних даних користувач потрапляє на сайт, що пропонує переглянути особисту інформацію учасників популярної соціальної мережі «В Контакте».(Перегляньте статтю про Вірус Stuxnet )

Під виглядом шуканої інформації до користувача на комп'ютер потрапляє виконуваний файл, який визначається антивірусом Dr.Web як Trojan.VkBase.1.

Після запуску цього файлу відкривається вікно Провідника Windows, в якому нібито відображена обіцяна на сайті інформація. Тим часом шкідлива програма вже встановлюється в систему і здійснює пошук встановленого в ній антивіруса.

Після того як пошук завершено, проводиться перезавантаження комп'ютера в безпечному режимі Windows, і встановлений в системі антивірус видаляється. При цьому в арсеналі програми є процедури видалення багатьох популярних антивірусних продуктів.

Так як модуль самозахисту Dr.Web SelfPROtect працює і в безпечному режимі Windows, для видалення Dr.Web троянець використовував додатковий компонент (Trojan.AVKill.2942), що експлуатує вразливість даного модуля. До теперішнього часу дана вразливість закрита. Для видалення інших антивірусних продуктів троянці додаткові модулі не були потрібні.

Після видалення антивіруса проводиться перезавантаження системи в звичайному режимі, а потім доступ до системи блокується за допомогою блокувальника Windows Trojan.Winlock.2477. Зловмисники вимагають за розблокування відправити через термінал оплати 295 рублів на рахунок мобільного телефону. Також виводяться помилкові попередження про те, що всі дані комп'ютера зашифровані і будуть вилучені протягом 90 хвилин.

Після розблокування комп'ютера троянець імітує встановлений до зараження антивірус з допомогою компонента, який визначається Dr.Web як Trojan.Fakealert.19448. В області повідомлень Windows відображається значок, ідентичний тому антивірусу, який працював у системі раніше до його видалення. При клацанні по цьому значку відображається вікно, схоже на вікно інтерфейсу віддаленого антивіруса, з повідомленням про те, що комп'ютер нібито як і раніше знаходиться під захистом. При клацанні по картинці вона закривається. Таким чином, для непідготовлених користувачів створюється ілюзія, що антивірусний захист системи продовжує працювати в штатному режимі.

В даний час користувачі всіх антивірусних продуктів Dr.Web для Windows захищені від Trojan.VkBase.1 та інших шкідливих програм, які можуть використовувати подібні схеми протидії антивірусам.