Вирусы снова научились удалять антивирусы
Компания "Доктор Веб" сообщила о выявлении нового метода противодействия работе антивирусов. Обнаружена вредоносная программа, которая может удалять компоненты антивирусной защиты из системы - это троянец Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети "ВКонтакте". Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1.
После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса. Затем производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. Причем, в арсенале программы - процедуры удаления многих популярных антивирусных продуктов.
Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. Сейчас данная уязвимость закрыта, утверждает "Доктор Веб". Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались. После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477.
Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут. После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. Таким образом, для неподготовленных пользователей создается иллюзия, что антивирусная защита системы продолжает работать в штатном режим, хотя на самом деле это не так и компьютер остается незащищенным.
Источник новости: Доктор Веб