http://news.drweb.com/show/?i=1406&lng=ru&c=14
Компания «Доктор Веб» сообщает о выявлении нового метода противодействия работе антивирусов. Несмотря на то что несколько лет назад большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы.
Один из таких методов реализован в троянце Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети «В Контакте».
Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1.
После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса.
После того как поиск завершен, производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов.
Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались.
После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут.
После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой. При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создаётся иллюзия, что антивирусная защита системы продолжает работать в штатном режиме.
Отредактировано George Yves (15-12-2010 23:50:10)
May the FOSS be with you!
Отсутствует
krigstask
Мне не страшно. Я по помойкам не хожу и блестящие камешки там не подбираю.
May the FOSS be with you!
Отсутствует
Ничего удивительного тут нет. Тот же старый "сектор" хоть и не удалял антивирь, но мгновенно "убивал" NOD32, причём даже без запуска исполняемого файла с телом вируса.
Вы ленивы, следовательно вы изобретательны (Граф Де Гиш)
Список настроек About:config на русском языке с пояснениями и рекомендациями
Отсутствует
George Yves
ну боян же!
еще OneHalf написанный в прошлом веке это умел.
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3
Отсутствует
Расскажу позавчерашнюю смешную историю - хотел ее вообще в раздел "Юмор" было засунуть.
У меня на работе хранился мартовский образ абсолютно чистой установки виндов - причем той конфигурации и с тем софтом, которые я использовал сотни раз.
ОС и все программы (по выработавшейся за последний год линуксовой привычке чуть было не написал "пакеты") - естественно НЕ(!) взломанные - были установлены лично мною на свежеотформатированную машину, не подключенную к сети, после чего, она была полностью настроена и. как завершающий штрих, был сделан полный образ ОС.
И тут вот мне понадобилось восстановить систему (я слишком долго тестировал на ней на работе всякие штуки). Загружаюсь (естественно - со специального линуксового загрузочного диска), указываю путь к образу, буквально через 3-4 минуты система была успешно восстановлена, вернее - приведена в изначальное чистое состояние. Казалось бы - все замечательно...
Те люди, которые на форуме давно, наверное помнят, что я всегда рекомендовал связку из антивируса AVG Free 9 и фаэрволла Online Armor Free 3.5 как наиболее надежную, хорошо "дружащую" между собою и дающую максимальный эффект в безопасности и защите...
И тут черт меня дернул - соблазнился на рекламу, скачал новые версии - AVG 2011 Free и OA 4.5 (ее, кстати, вслед за AVG тоже перевели на русский язык). Вначале деинсталлировал старые версии при помощи Revo Uninstaller, потом поставил фаэрволл, потом антивирус.
После инсталляции AVG и перезагрузки машины, у него бывает т.н. "оптимизация сканирования"... И чтобы вы думали?! Рр-раз: и он сообщает, что согласно эвристике или системе поиска руткитов (запамятовал), основной файл ОА является вредоносным(!) с высокой степенью опасности.... и сносит его в карантин! Два - так же точно поступает еще с одним базовым файлом ОА... и с третьим... Три - фаэрволл, не ожидав такой подлости от старого друга и соратника, от удивления падает! Четыре - падаю со стула я, причем не от алкоголя (хотя к 16 часам во мне ежедневно сидит уже много чего хорошего от 40 и выше градусов, что я употребляю с сослуживцами в разных отделах), но сугубо от удивления, ибо вижу такую "картину маслом" первый раз в жизни!
Короче говоря: "Повесть о том, как поссорился Иван Иванович с Иваном Никифоровичем" в совокупности с "Вием"! Мало того, AVG теперь обладает рекламным окном, НЕ входящим в основной интерфейс (раньше его можно было спрятать, максимизировав основное окно), всплывающим при кажом обращении к интерфейсу...
Одним словом - КАК ХОРОШО(!) что меня дома это ничего не беспокоит вот уже год!
Отредактировано Rosenfeld (16-12-2010 00:25:13)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
okkamas_knife
Кому - боян, а кому и новость. Не все же так хорошо знают историю вредоносов.
Rosenfeld
Я уже никогда не перейду на Линукс - поздно мне пить "Боржоми", когда МС в печёнке сидит.
May the FOSS be with you!
Отсутствует
Да! (я читал это уже у Лео)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
Самая страшная в мире история.
"Попытка деления на букву О" просто убила
Вы ленивы, следовательно вы изобретательны (Граф Де Гиш)
Список настроек About:config на русском языке с пояснениями и рекомендациями
Отсутствует