Новый метод противодействия антивирусам
Компания «Доктор Веб» сообщила о выявленном новом методе противодействия работе антивирусов. Несколько лет назад большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, однако авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы.
Один из таких методов реализован в троянце Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников социальной сети «В Контакте». Под видом искомой информации к нему на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1.
После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа устанавливается в систему и ведет поиск установленного в ней антивируса. После того как поиск завершен, компьютер перезагружается в безопасном режиме Windows, и установленный в системе антивирус удаляется. В арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов.
Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались.
После удаления антивируса система перезагружается в обычном режиме, а затем доступ к ней блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 руб. на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 мин.
После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее. При щелчке по этому значку отображается окно, похожее на окно интерфейса удаленного антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой. При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создаётся иллюзия, что антивирусная защита системы продолжает работать в штатном режиме.