Будьте бдительны: вирусы удаляют антивирусы

Компания «Dr.Web» сообщила о новом методе противодействия работе антивирусов, который распространился в Сети. Несмотря на то что несколько лет назад большинство антивирусный лабораторий включили в состав своих продуктов модули самозащиты, тем не менее авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы компьютера.

Такой метод реализован в троянце Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, где предлагается просмотреть личную информацию участников популярной социальной сети «В Контакте». Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1.

Когда пользователь запускает этот файл, открывается окно Проводника Windows, в котором якобы обещанная на сайте информация. Тем временем вредный софт уже устанавливается в систему и ищет установленный в системе антивирус. После того как поиск завершен, компьютер автоматически перезагружается в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов.

Но троянец сталкивается с проблемой когда пытается удалить антивирус Dr. Web, так как модуль самозащиты Dr.Web SelfPROtect работает даже безопасном режиме Windows. Но при этом вредоносная программа использовал дополнительный компонент (Trojan.AVKill.2942) для удаления защитного модуля, эксплуатирующий ее уязвимость. Разработчики антивирусного модуля закрыли данную уязвимость. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались.

После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут.

После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой. Таким образом, для неподготовленных пользователей создается иллюзия, что антивирусная защита системы продолжает работать в стандартном режиме.

В настоящее время пользователи всех антивирусных продуктов Dr.Web для Windows, как утверждает разработчик, защищены от Trojan.VkBase.1 и других вредоносных программ, которые могут использовать подобные схемы противодействия антивирусам.

Нам остается только надеяться что все, кто читал эту статью, не поверит в лохотрон. Удачи…

Категории: Интернет и связь