Компанията Dr.Web е засякла нов метод за блокиране на работата на антивирусните програми. Независимо, че преди няколко години повечето антивирусни производители включиха в състава на своите продукти модули за самозащита, авторите на съвременните опасни програми както и преди намират начини за премахване на компоненти на антивирусната защита на системата. Един от тези методи е реализиран в троянеца Trojan.VkBase.1. Когато търси лични данни на някого, потребителят попада на сайт, където му се предлага да види лична информация участници в популярна руска социална мрежа. Така той стига до изпълним файл, който се определя от антивируса Dr.Web като Trojan.VkBase.1. След стартиране на файла се отваря прозорецът на Windows Explorer, в който уж е показана търсената информация. В същото време опасната програма се инсталира в системата и започва да търси инсталирани антивируси. След като сканирането приключи, компютърът се рестартира в Safe mode и инсталираният в системата антивирус се изтрива. В арсенала на програмата присъстват процедури за премахване на много от популярните антивирусни продукти, подчертават от Dr.Web.
Тъй като модулът за самозащита Dr.Web SelfPROtect работи и в безопасния режим на Windows, за изтриване на Dr.Web троянецът използва допълнителен компонент (Trojan.AVKill.2942), експлоатиращ уязвимост на този модул. Към момента тази дупка вече е запушена. За изтриване на другите антивирусни продукти на вируса не са нужни допълнителни модули.
След изтриване на антивируса системата се рестартира в нормален режим, след което достъпа до нея се блокира с помощта на Windows Trojan.Winlock.2477. За разблокиране хакерите искат известна сума. Освен това се извеждат лъжливи предупреждения за това, че данните в компютъра са криптирани и ще бъдат изтрити след 90 минути.
След разблокиране на компютъра, троянецът имитира инсталирания преди заразяването антивирус с помощта на компонента Trojan.Fakealert.19448. В system tray на Windows се появява иконка на този антивирус, по кликване на която излиза съответният прозорец. Илюзията е пълна и неподготвените потребители лесно могат да се излъжат, че антивирусната им защита си работи нормално.
От Dr.Web заявяват, че всички антивирусни продукти на компанията вече съдържат средства за борба с Trojan.VkBase.1 и друг подобен опасен код.
