Троян «лечит» компьютер от других угроз

Тема в разделе "Новости и статьи IT безопасности", создана пользователем Denis27, 26 июн 2014.

↑ ↓
  1. Denis27 Уважаемый пользователь
    Denis27
    Ответить в чате

    Форумчанин

    Регистрация:
    04.03.2014
    Сообщения:
    887
    Симпатии:
    3.419
    Пол:
    Мужской
    Репа:
    +3.420 / 0 / -0
    Удивительное рядом – троян «лечит» компьютер от других угроз.

    Специалисты компании «Доктор Веб» завершили исследование сложного многокомпонентного троянца Trojan.Tofsee, обладающего широким спектром возможностей. Основное назначение этого троянца – рассылка спама, однако среди заложенных в него функций есть весьма необычная: один из модулей Trojan.Tofsee предназначен для удаления на инфицированном компьютере других троянцев и вредоносных программ.
    Порой пользователи пренебрегают необходимостью установки на своем компьютере антивирусного программного обеспечения, и в результате многие из них становятся жертвами распространителей вредоносных программ. Можно сказать, что в этом отношении чуть больше других повезло разве что пользователям, компьютеры которых заразились многокомпонентным троянцем Trojan.Tofsee – помимо рассылки спама он умеет «лечить» систему от других угроз, причем справляется с этой задачей на удивление успешно.
    Распространяется он несколькими различными способами: с помощью программы Skype, через социальные сети и съемные накопители.
    Основное назначение Trojan.Tofsee – это рассылка спама, при этом тексты отправляемых писем формируются с помощью специальных шаблонов, которые троян скачивает с сервера злоумышленников. Любопытно, что для создания отправляемых писем троянец использует собственный скриптовый язык, что само по себе является большой редкостью в мире вредоносного программного обеспечения.
    Однако наибольший интерес с точки зрения своего функционального назначения представляет модуль трояна, предназначенный для поиска и удаления на инфицированном компьютере всех обнаруженных троянов и других вредоносных программ (за исключением, разумеется, самого Trojan.Tofsee). Этот плагин может искать на диске файлы по заданному списку, а также записи в системном реестре Windows, перечислять запущенные процессы и удалять обнаруженные опасные файлы. Таким образом, даже если на компьютере жертвы не установлена антивирусная программа, Trojan.Tofsee «заботится» о его безопасности.
    По материалам пресс-релиза компании «Доктор Веб».
    Источник
    а вы говорите что вирусы плохиеDmeh-Smeh-Smeh!!!
     
    • Мне нравится Мне нравится x 6
  2. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.184
    Симпатии:
    11.098
    Пол:
    Мужской
    Репа:
    +11.246 / 47 / -6
    Jabber:
    Skype:
    В посте на Хабре,такое поведение троянца обосновывают тем,что если на компе у пользователя будут жить куча всяких вредоносов,то юзер почувствует падение производительности своей машины и начнёт искать причину,сканировать различными аверовскими продуктами.И тогда пиз..ы получат все,кто тусовался на компе,а так он тихо и незаметно сидит себе и рассылает спам.
    Да и ещё в коммах выложили статью в тему.Вредоносное ПО тоже применяет SRP.
     
    • Мне нравится Мне нравится x 6
  3. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    1. Про функционал "антивируса" можно узнать даже из тем продажи известных ддос-ботов - у некоторых заявляется функционал удаления конкурентов из системы (не всех малварей, а конкурентов, которые заранее изучены и они прибиваются по путям/простеньким хэшам/правилам).
    2. Использование SRP для блокировки аверских тулз это неимоверно старая технология, помню, что в свое время (лет эдак 8 назад...) малварь крайне любила подобным образом (путем внесения определенных записей в реестр) блокировать avz.exe, поэтому (ну и не только поэтому) тогда появилась "полиморфная версия", где все базы вшиты в тело, имя рандом, имя окон/классов тоже...
     
    • Мне нравится Мне нравится x 4
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +968 / 152 / -29
    Jabber:
    Telegram:
    А определяют авер по цифровой подписи ?

    Если да, то вроде все аверы имеют цифровую подпись-же, по ним и можно определить что запускается АВ и соответственно блокировать его...

    И тогда бесполезно делать имя рандом и т.д. !Не въехал!!!
     
    • Мне нравится Мне нравится x 3
  5. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    имя процесса в реестр вписывают и венда лочит запуск
     
    • Мне нравится Мне нравится x 1

Поделиться этой страницей