Компания Microsoft обнаружила «уникальный» бэкдор Win32/Bafruz: он устанавливает P2P-соединения с другими заражёнными компьютерами, управляется через C&C-серверы, оснащён несколькими вредоносными модулями. Различные модули Win32/Bafruz обладают разными возможностями: копирование паролей от сетей Facebook и «Вконтакте», осуществление DDoS-атак, майнинг Bitcoin, скачивание дополнительные модулей с удалённого сервера и т.д., но самое интересное — он способен отключать антивирусные программы и файрволы. Программа действует следующим образом. При инфицировании компьютера она показывает фальшивое сообщение якобы от антивируса о нахождении вредоносного ПО. В отличие от других фальшивых антивирусов, здесь не блокируются файлы и не требуется отправить платную SMS. Злоумышленники хотят только, чтобы вы перезагрузили компьютер по нажатию кнопки Remove. После этого начинается самое интересное. После нажатия Remove компьютер перезагружается в безопасном режиме, в котором Bafruz удаляет из системы компоненты антивирусов. Удаление антивирусов и файрволов осуществляется по списку, который присутствует в коде Bafruz. По окончании загрузки вредоносная программа демонстрирует пользователю сообщение, что компьютер теперь работает в режиме «улучшенной защищённости». Дата: 16.08.2012 http://www.xakep.ru/post/59171/
Этот вирь под все антивирусы умеет шифроваться? Я про то что диалоговое окно различаются), или я совсем не в тему?
это "вариации на тему". С блокированием/отключением антивирусов сталкивался году в 2007. Удивляет, почему аверы не придумали антивирус, работающий по принципу бота - с самомодифицирующимся обфусцируемом кодом, управление которым осуществлялось из веб-админки на другом хосте. Сам "полезный вирус" отстукивался раз в минуту и забирал команды. Для частных пользователей, может и не прокатило бы [сразу], но для корпоративных решений - только в путь.
В прошлом году вконтакте через флеш плеер почти такой же распространялся. Отличия в том что аллер не показывал, а сразу после попадания в систему проводил ребут и стирал аверы, а потом показывал туже табличку, но на русском. Вообще это вендоры виноваты что аверы из безопасного режима выносятся, драйвер самозащиты авера можно было бы прописать как boot и все дела. У нортона в безопасном грузятся 2 драйвера, файловые фильтры. Что мешает так же грузить драйвер самозащиты не понятно.
У практически всех антивирусов существуют утилиты удаления. Ко всему прочему пакеты установщики msi и сам сервис msi.exe позволяет удалять по в скрытом режиме. К примеру в касперском, если не установлен пароль, то можно удалить без особых проблем и 2012 версию. Кстати сам пароль хранится в реестре мд5 хэшем)))
был как то вирус на флешке, при проверке которого касперский сразу окачурился и значёк его пропал. больше он не запускался даже, хотя и не удалялся из установок