Организация «Доктор Веб» рассказала о выявлении нового способа противодействия работе антивирусных программ. Независимо от того что 3 года назад большинство противовирусных вендоров подключили в состав собственных товаров модули самообороны, создатели сегодняшних вредных программ еще считают методы снятия элементов противовирусной обороны из системы.
Один из подобных способов выполнен в троянце Trojan.VkBase.1. В поисках чьих-либо частных данных клиент угождает на веб-сайт, предлагающий посмотреть собственную информацию участников распространенной соцсети «В Контакте».
Маскируясь под желанной информации к клиенту на персональный компьютер угождает выполняемый документ, который устанавливается антивирусом Dr.Web как Trojan.VkBase.1.
После старта этого документа открывается окно Проводника Виндоус, в котором будто бы отображена гарантированная на веб-сайте информация. Тем временем вредная платформа ставится в технологию и проводит поиск поставленного в ней антивируса.
После того как поиск окончен, выполняется перезагрузка ПК в безопасном режиме Виндоус, и поставленный в системе антивирус удаляется. При этом в запасе платформы есть операции снятия многих распространенных противовирусных товаров.
В связи с тем что модуль самообороны Dr.Web SelfPROtect действует и в безопасном режиме Виндоус, для снятия Dr.Web троянец применял особый элемент (Trojan.AVKill.2942), угнетающий слабость этого модуля. К настоящему времени эта слабость перекрыта. Для снятия прочих противовирусных товаров троянцу особые модули не требовались.
После снятия антивируса выполняется перезагрузка системы в стандартном режиме, а потом доступ к системе блокируется при помощи блокировщика Виндоус Trojan.Winlock.2477. Мошенники требуют за разблокировку послать через терминал оплаты 295 руб на счет смартфона. Также выводятся неверные предостережения о том, что все данные ПК зашифрованы и будут удалены на протяжении 90 секунд.
После разблокировки ПК троянец воспроизводит поставленный до инфицирования антивирус при помощи компонента, который устанавливается Dr.Web как Trojan.Fakealert.19448. В сфере извещений Виндоус отражается знак, тождественный тому антивирусу, который работал в системе раньше до его снятия. При щелчке по данному значку отражается окно, похожее на окно внешнего вида бравённого антивируса, с известием о том, что персональный компьютер будто бы еще располагается под обороной. При щелчке по иллюстрации она закрывается. Так что, для неискушенных клиентов создаётся видимость, что противовирусная оборона системы продолжает работать в стандартном режиме.