forum.il.ncp.ru

Пожалуйста, войдите или зарегистрируйтесь.

Расширенный поиск  

Новости:

п.Ильинский,п.Быково,п.Удельная,п.Кратово,п.Родники Раменского района,Московской области
Интернет сервис провайдер Нью-Ком Трейд!

Автор Тема: Обнаружен новый компьютерный вирус  (Прочитано 53609 раз)

0 Пользователей и 1 Гость просматривают эту тему.

777

  • Просто_Модератор
  • *****
  • Репутация +50/-0
  • Оффлайн Оффлайн
  • Сообщений: 887
Re: Обнаружен новый компьютерный вирус
« Ответ #15 : 15 Декабря 2010, 15:05:54 »

"Доктор Веб": Новый троян отключает антивирусы излишне любопытным пользователям "ВКонтакте"
15 декабря 2010 г.

http://hitech.newsru.com/article/15dec2010/vkbase



Антивирусная компания "Доктор Веб" предупреждает о появлении нового метода противодействия работе антивирусов, реализованном в трояне Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети "ВКонтакте".

Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, после запуска которого открывается окно Проводника Windows. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса.

После того как поиск завершен, производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов, отмечают специалисты "Доктор Веб".

Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались.

После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут.

После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой.

При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создается иллюзия, что антивирусная защита системы продолжает работать в штатном режиме.

Таким образом, отмечают эксперты, хотя большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы.
Записан