Пользователи "ВКонтакте" под ударом нового троянца

Компания «Доктор Веб» сообщила о выявлении нового метода противодействия работе антивирусов. Несмотря на то что несколько лет назад большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы. Один из таких методов реализован в троянце Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети «В Контакте».

Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1.

После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса.

После того как поиск завершен, производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов.

Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались.

После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут.

После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой. При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создаётся иллюзия, что антивирусная защита системы продолжает работать в штатном режиме.​

(21:25) 14.12.2010
http://www.cybersecurity.ru/crypto/110686.html​

 

Вот я в раздумьях поменять мне антивирус на "Доктор Веб" или нет. А то все его пиарят о том что он все трояны и тд. хорошо ловит.

/сейчас стоит нод32/

 

думаю нод32 больше ловит чем др.веб



да. такой троянец красавец, только вот поймают того кто просит на телефон деньги положить через терминал, отследят.

 

ребят как же это банально вас разводят а вы всему верите, ну ладно виг сним ловит он этот вирь, но не ловит другой. Нужно просто думать маленько куда ты тыкаеш, что-бы вирь не палился нужно то всего строчку кода добавить...

 

а знаеш как то тестил интивирус на аптайм!
доктор протянул пол года пока не надоел а нод 4 месяца и комп то глючить начал то еще мне всякие фокусы показывал спасло это все установкой убунты))))))

 

не меняй, нод самый хороший на данный момент.

 

Да, убунта самый крутой антивирус.
По сабжу: похоже на пеар Др.Веба.

 

Ну смотря в какие времена ты их тестил, ведь новые вири пишутся каждый час, которые например веб не ловит, а нод ловит, и наоборот, в общем нормального актуального а-вира еще нету.
И потихоньку ты уже на ОС перешел.)

 

Ubuntu это ОС Оо

 

он говорил в смысле того, что там критически нету антивирей заточых под убунту.

 

Мда, что-то он совсем не так выразился.

 

ну главное смылс уловили-) но по мне нод стабильный

 

трой уматный.. только сильно комп он портир

 

Нда...

Нда.....трой действительно стоющий.....где бы его подцепить и посмотреть код))))вобщем вывод один в топку форточку юзаем Linux))))

 

лиц.касперский и всё хорошо

 

да ну лучше ubuntu))))

 

продуманная коняка)

 

ага хорошо
криптануть этого троя и хрен он его найдет.

 

был я на этом сайте с якобы предоставленной личной инфой.
настаражило то что там вводишь и формируется база типа в зип если память не кривит.
и ты её спокойно качаешь и читаешь переписку допустим.
насторожило то что есть на каждый ид.
качать естественно не стал.
было это скорее летом чем осенью))))

 

Вы опять об антивирусах и убунтах...

Гораздо интересней каким образом реализован ребут в безопасные режим, и автоматическая процедура удаления антивирусных продуктов. А если учётка админа залочена? Неужто из sam файлов выдирает? Есть инфа по этому вопросу или тело троя у кого-нить для расколупа?!