Перейти к содержанию

"Доктор Веб": Новый троян отключает антивирусы излишне любопытным пользователям "ВКонтакте"


Рекомендуемые сообщения

Антивирусная компания "Доктор Веб" предупреждает о появлении нового метода противодействия работе антивирусов, реализованном в трояне Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети "ВКонтакте".

 

Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, после запуска которого открывается окно Проводника Windows. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса.

 

После того как поиск завершен, производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов, отмечают специалисты "Доктор Веб".

 

Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались.

 

После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут.

 

После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой.

 

При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создается иллюзия, что антивирусная защита системы продолжает работать в штатном режиме.

 

Таким образом, отмечают эксперты, хотя большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • AArsen
      От AArsen
      Добрый вечер! 
      KESL 12.1 настроена политика запрет всего по категориям. 
      Правилом выше размещаю разрешение, выбираю определенные категории и в поле пользователей выбираю пользователей поиском из AD. 
      К сожалению разрешающее правило таким образом сформированное не работает, подскажите, пожалуйста, если реализовывали, как организовать белый список пользователей, которым разрешены некоторые категории из запрещенных?
      Условно идти от обратного, запрещая не всем сотрудникам, не подходит из-за большого количества пользователей



    • KL FC Bot
      От KL FC Bot
      Сегодня поговорим о крысах, но не о тех, что с длинными хвостами, а о компьютерных — RAT (remote access trojan). Так называют трояны, которые позволяют злоумышленнику получить удаленный доступ к устройству. Обычно «крысы» умеют самостоятельно устанавливать и удалять программы, контролировать буфер обмена и считывать данные с клавиатуры.
      В мае 2024 года в нашу крысоловку попался новый представитель RAT-троянов: SambaSpy. Как это вредоносное ПО проникает на устройства жертв и чем оно там занимается — в этой публикации.
      Что такое SambaSpy
      SambaSpy — это многофункциональный RAT-троян, обфусцированный с помощью Zelix KlassMaster, что существенно затрудняет его обнаружение и анализ. Тем не менее мы справились с обеими задачами и выяснили, что новый RAT-троян умеет:
      управлять файловой системой и процессами; загружать и выгружать файлы; управлять веб-камерой; делать скриншоты; красть пароли; загружать дополнительные плагины; удаленно управлять рабочим столом; регистрировать нажатия клавиш; управлять буфером обмена.  
      View the full article
    • Timur644
      От Timur644
      Добрый день.
      Как не давать пользователю просто выйти из KES?
      Какие настройки изменить в KSC для этого?
       

    • ljovanja
      От ljovanja
      Добрый день!
      Нужна помощь с мониторингом доступа пользователей к разрешенным сайтам. Всё вроде сделала по инструкции: в политике поставила флажки "проверять защищённые соединения", "внедрять в трафик скрипт взаимодействия с веб-страницами" и "записывать данные о посещении разрешенных страниц в журнал". Но в отчётах веб-контроля отражаются только страницы, доступ к которым запрещен. Пыталась делать выборку событий по позиции "открыта разрешённая страница" - тоже пусто. Может кто-то сталкивался с подобным и подскажет где эту информацию искать? 
      KSC 13.2, KES 12.2.0.462
    • Наран Джим
      От Наран Джим
      Прошу помочь, пользовался антивирусом Касперского, подписка лицензия, всё есть, но почему-то мой антивирус пропал, ну как пропал, виндовс защита его видит как поставщика защиты ПК, но по кнопке перейти в приложение Касперского ничего не происходит, сколько не жми, само приложение исчезло с раб стола, в пуске пустой ярлык, с пустым листом вместо логотипа, при его открытии пишет не удаётся получить доступ, нет разрешения, даже при администраторе есть открыть, но в свойствах, путь указан, но по этому пути пусто, нет в дисках антивируса, если скачивать новый он требует перезагрузки, после которой ничего не происходит
      Удалить я не могу Касперский, его тупо нет, точнее не могу найти, думал мб из-за этого не получается новый установить, но новые пакеты даже не появляются после распаковки. Наткнулся на окно что у меня нет прав на изменения Касперского, даже если я администратор, что за бред
×
×
  • Создать...