Один из таких методов реализован в троянце Trojan. VkBase. 1. В поисках
чьих-либо приватных данных пользователь попадает на сайт, предлагающий
просмотреть личную информацию участников популярной социальной сети «В
Контакте». Под видом искомой информации к пользователю на компьютер
попадает исполняемый файл, который определяется антивирусом Dr. Web как
Trojan. VkBase. 1. После запуска этого файла открывается окно Проводника
Windows, в котором якобы отображена обещанная на сайте информация.
Тем временем вредоносная программа уже устанавливается в систему и
осуществляет поиск установленного в ней антивируса. После того как поиск
завершен, производится перезагрузка компьютера в безопасном режиме
Windows, и установленный в системе антивирус удаляется. При этом в
арсенале программы существуют процедуры удаления многих популярных
антивирусных продуктов. Так как модуль самозащиты Dr. Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr. Web троянец использовал дополнительный компонент (Trojan. AVKill. 2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта.
Для удаления других антивирусных продуктов троянцу дополнительные
модули не требовались. После удаления антивируса производится
перезагрузка системы в обычном режиме, а затем доступ к системе
блокируется с помощью блокировщика Windows Trojan. Winlock. 2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона.
Также выводятся ложные предупреждения о том, что все данные компьютера
зашифрованы и будут удалены в течение 90 минут. После разблокировки
компьютера троянец имитирует установленный до заражения антивирус с
помощью компонента, который определяется Dr. Web как Trojan. Fakealert.
19448. В области уведомлений Windows отображается значок,
идентичный тому антивирусу, который работал в системе ранее до его
удаления. При щелчке по этому значку отображается окно, похожее на
окно интерфейса удалённого антивируса, с сообщением о том, что компьютер
якобы по-прежнему находится под защитой. При щелчке по картинке
она закрывается. Таким образом, для неподготовленных пользователей
создаётся иллюзия, что антивирусная защита системы продолжает работать в
штатном режиме. В настоящее время пользователи всех антивирусных
продуктов Dr. Web для Windows защищены от Trojan. VkBase. 1 и других вредоносных программ, которые могут использовать подобные схемы противодействия антивирусам.