Главные новости дня

Организация «Доктор Веб» рассказывает о выявлении нового способа противодействия работе антивирусных программ.

Организация «Врач Интернет» рассказывает о выявлении нового способа противодействия работе антивирусных программ. Независимо от того что несколько месяцев назад большинство противовирусных вендоров подключили в состав собственных товаров модули самообороны, творцы сегодняшних вредных программ как и раньше считают методы снятия элементов противовирусной обороны из системы. 

Один из подобных способов выполнен в троянце Trojan.VkBase.1. В поисках чьих-либо частных данных клиент угождает на веб-сайт, предлагающий посмотреть собственную информацию участников распространенной соцсети «В Контакте». Маскируясь под желанной информации к клиенту на ПК угождает выполняемый документ, который устанавливается антивирусом Dr.Web как Trojan.VkBase.1.

После старта этого документа открывается окно Проводника Виндоус, в котором будто бы отображена гарантированная на веб-сайте информация. Тем временем вредная платформа ставится в технологию и проводит поиск поставленного в ней антивируса. После того как поиск окончен, выполняется перезагрузка ПК в безопасном режиме Виндоус, и поставленный в системе антивирус удаляется. При этом в запасе платформы есть операции снятия многих распространенных противовирусных товаров.

В связи с тем что модуль самообороны Dr.Web SelfPROtect действует и в безопасном режиме Виндоус, для снятия Dr.Web троянец применял особый элемент (Trojan.AVKill.2942), угнетающий слабость этого модуля. К настоящему времени эта слабость перекрыта. Для снятия прочих противовирусных товаров троянцу особые модули не требовались.

После снятия антивируса выполняется перезагрузка системы в стандартном режиме, а потом доступ к системе блокируется при помощи блокировщика Виндоус Trojan.Winlock.2477. Мошенники требуют за разблокировку послать через терминал оплаты 295 руб на счет смартфона. Также выводятся фальшивые предостережения о том, что все данные ПК зашифрованы и будут удалены на протяжении 90 секунд.

После разблокировки ПК троянец воспроизводит поставленный до инфицирования антивирус при помощи компонента, который устанавливается Dr.Web как Trojan.Fakealert.19448. В сфере извещений Виндоус отражается знак, схожий тому антивирусу, который работал в системе раньше до его снятия. При щелчке по данному значку отражается окно, похожее на окно внешнего вида бравённого антивируса, с известием о том, что ПК будто бы как и раньше располагается под обороной. При щелчке по иллюстрации она закрывается. Так, для неискушенных клиентов создаётся видимость, что противовирусная оборона системы продолжает работать в стандартном режиме.

Сейчас клиенты всех противовирусных товаров Dr.Web для Виндоус, как заявляет создатель, предохранены от Trojan.VkBase.1 и прочих вредных программ, которые способны применять такие модели противодействия антивирусам.

Раньше проверка THG.ru рассказывала, что организация «Врач Интернет» продемонстрировала свежую серию товаров Dr.Web для обороны коллективных клиентов — Dr.Web Enterprise Security Suite. Значительным новаторством открылось подключение в состав серии компьютерных товаров Dr.Web с вероятностью концентрированного администрирования обороной всех участков коллективной сети. В этой связи ощутимо изменены критерии лицензирования товаров Dr.Web. Свежее лицензирование отображает основную мысль Dr.Web Enterprise Security Suite — вероятность сделать всеохватывающую концентрированную защиту всех участков коллективной сети организации при помощи одного решения — Dr.Web, что в особенности важно в свете быстрого входа в силу Государственного законопроекта «О индивидуальных данных» № 152-ФЗ, одним из условий которого считается обеспечение возможности концентрированного администрирования противовирусной обороной.