Один из новых троянцев блокирует Windows и удаляет все антивирусы.

Trojan.VkBase.1

Вредоносная программа распространяется с вредоносного сайта в домене .ru, под видом архивов с личной информацией, принадлежащей пользователям социальной сети ВКонтакте.

Скачиваемый файл является исполняемым exe-файлом, который формируется на вредоносном сайте динамически в зависимости от параметров поиска, которые ввёл пользователь.

При запуске троянца (исполняемый файл запускается без параметров) выводится окно, внешне напоминающее интерфейс Проводника Windows с содержащимися необходимыми приватными сведениями.

Затем программа устанавливает себя в систему в качестве сервиса с именем zipdrivers. После этого созданный сервис запускается и производит поиск установленных в системе антивирусных продуктов. Если был найден один из антивирусных продуктов Dr.Web для Windows, то с вредоносного интернет-сервера скачивается дополнительный модуль, определяемый Dr.Web как Trojan.AVKill.2942.

Далее производится презагрузка компьютера в безопасный режим Windows и удаление из системы антивирусных программ следующих производителей:

Для перезагрузки системы в безопасном режиме Trojan.VkBase.1 редактирует системный файл boot.ini, для Windows Vista и более поздних версий Windows используется системная утилита BCDEdit. В результате этих действий к параметрам загрузки системы добавляется параметр /safeboot:network, что соответствует запуску системы в Безопасном режиме с поддержкой сети.

Для запуска сервиса троянца в Безопасном режиме Windows, в системном реестре создаётся следующая запись:

HKLM\System\CurrentControlSet\Control\SafeBoot\Network\zipdrivers

После загрузки системы в Безопасном режиме сервис вредоносной программы автоматически стартует и удаляет установленный в системе антивирус.

Для удаления из системы продуктов Dr.Web для Windows используется дополнительно загружаемый модуль, эксплуатирующий уязвимость модуля самозащиты, который определяется Dr.Web как Trojan.AVKill.2942, т.к.

самозащита в продуктах Dr.Web для Windows функционирует и в Безопасном режиме Windows. В настоящее время данная уязвимость в продуктах Dr.Web для Windows устранена. Для удаления остальных антивирусных продуктов из системы дополнительные модули троянцу не требуются.

Далее троянец отключает сервис контроля учётных записей пользователей (UAC), а также вносит настройки в работу системы, которые позволят впоследствии троянцу запускать исполняемые файлы, загружаемые из Интернета, без уведомления пользователя.

Кроме того, программа создаёт свою копию в файле \WINDOWS\TEMP\tray_tmp.exe и дополнительно устанавливает себя на запуск (помимо сервера) в ветке системного реестра: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

После этого параметры загрузки системы возвращаются в исходное состояние, и система перезагружается в обычном режиме, и загружает далее с вредоносного сервера два исполняемых файла, которые по классификации Dr.Web именуются как Trojan.Winlock.2477 и Trojan.Fakealert.19448. Последний загружается лишь в том случае, если удаление установленного в системе антивируса завершилось успешно.

Trojan.Winlock.2477 записывается в каталог Windows под именем win32boot.exe, после чего запускается.

Trojan.Fakealert.19448 записывается в каталог Windows под именем av_soft.exe, после чего также запускается.

Файл tray_tmp.exe после всех этих действий остаётся в системной папке и продолжает запускаться. При этом сервис zipdrivers также продолжает запускаться, хотя и остаётся неактивным. При своём запуске tray_tmp.exe проверяет наличие файла, соответствующего Trojan.Winlock.2477 и в случае его отсутствия снова загружает с сервера и вновь запускает.