21.12.2010 НовостиКомпания «Доктор Веб» сообщила о выявленном новом методе противодействия работе антивирусов. Несколько лет назад большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, однако авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы. Один из таких методов реализован в троянце Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников социальной сети «В Контакте». Под видом искомой информации к нему на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1. После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа устанавливается в систему и ведет поиск установленного в ней антивируса. После того как поиск завершен, компьютер перезагружается в безопасном режиме Windows, и установленный в системе антивирус удаляется. В арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов. Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не ...
читать далее.
