Кампанія «Доктар Вэб» паведаміла аб выяўленні новага метаду процідзеяння працы антывірусаў. Нягледзячы на то што некалькі гадоў назад большасць антывірусных вендараў улучылі ў склад сваіх прадуктаў модулі самаабароны, аўтары сучасных шкоднасных праграм па-ранейшаму знаходзяць спосабы выдалення кампанентаў антывіруснай абароны з сістэмы. Адзін з такіх метадаў рэалізаваны ў траянцу Trojan.VkBase.1. У пошуках чыіх-альбо прыватных дадзеных карыстач пападае на сайт, які прапануе прагледзець асабістую інфармацыю ўдзельнікаў папулярнай сацыяльнай сеткі «У Кантакце». Пад выглядам шуканай інфармацыі да карыстача на кампутар пападае выкананы файл, які вызначаецца антывірусам Dr.Web як Trojan.VkBase.1. Пасля запуску гэтага файла адчыняецца акно Правадыра Windows, у якім нібы адлюстраваная абяцаная на сайце інфармацыя. Тым часам шкоднасная праграма ўжо ўсталёўваецца ў сістэму і ажыццяўляе пошук усталяванага ў ёй антывіруса. Пасля таго як пошук завершаны, вырабляецца перазагрузка кампутара ў бяспечным рэжыме Windows, і ўсталяваны ў сістэме антывірус выдаляецца. Пры гэтым у арсенале праграмы існуюць працэдуры выдалення шматлікіх папулярных антывірусных прадуктаў. Бо модуль самаабароны Dr.Web SelfPROtect працуе і ў бяспечным рэжыме Windows, для выдалення Dr.Web траянец выкарыстаў дадатковы кампанент (Trojan.AVKill.2942), які эксплуатуе ўразлівасць дадзенага модуля. Да цяперашняга часу дадзеная ўразлівасць зачыненая. Для выдалення іншых антывірусных прадуктаў траянцу дадатковыя модулі не патрабаваліся. Пасля выдалення антывіруса вырабляецца перазагрузка сістэмы ў звычайным рэжыме, а затым доступ да сістэмы блакуецца з дапамогай блакавальніка Windows Trojan.Winlock.2477. Зламыснікі патрабуюць за разблакоўку адправіць праз тэрмінал аплаты 295 рублёў на рахунак мабільнага тэлефона. Таксама выводзяцца ілжывыя папярэджанні аб тым, што ўсе дадзеныя кампутара зашыфраваныя і будуць выдаленыя на працягу 90 хвілін. Пасля разблакоўкі кампутара траянец імітуе ўсталяваны да заражэння антывірус з дапамогай кампанента, які вызначаецца Dr.Web як Trojan.Fakealert.19448. У вобласці апавяшчэнняў Windows адлюстроўваецца значок, ідэнтычны таму антывірусу, які працаваў у сістэме раней да яго выдалення. Пры пстрычцы па гэтым значку адлюстроўваецца акно, падобнае на акно інтэрфейсу выдаленага антывіруса, з паведамленнем аб тым, што кампутар нібы па-ранейшаму знаходзіцца пад абаронай. Пры пстрычцы па малюначку яна зачыняецца. Такім чынам, для непадрыхтаваных карыстачоў ствараецца ілюзія, што антывірусная абарона сістэмы працягвае працаваць у штатным рэжыме. У цяперашні час карыстачы ўсіх антывірусных прадуктаў Dr.Web для Windows абароненыя ад Trojan.VkBase.1 і іншых шкоднасных праграм, якія могуць выкарыстаць падобныя схемы процідзеяння антывірусам.
Новы блакавальнік Windows выдаліць ваш антывірус перад запускам
15 снежня 2010
Каментароў (0)