• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Троян «лечит» компьютер от других угроз (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

Denis27

Уважаемый пользователь
Форумчанин
Регистрация
04.03.2014
Сообщения
705
Репутация
1 180
Удивительное рядом – троян «лечит» компьютер от других угроз.

Специалисты компании «Доктор Веб» завершили исследование сложного многокомпонентного троянца Trojan.Tofsee, обладающего широким спектром возможностей. Основное назначение этого троянца – рассылка спама, однако среди заложенных в него функций есть весьма необычная: один из модулей Trojan.Tofsee предназначен для удаления на инфицированном компьютере других троянцев и вредоносных программ.
Порой пользователи пренебрегают необходимостью установки на своем компьютере антивирусного программного обеспечения, и в результате многие из них становятся жертвами распространителей вредоносных программ. Можно сказать, что в этом отношении чуть больше других повезло разве что пользователям, компьютеры которых заразились многокомпонентным троянцем Trojan.Tofsee – помимо рассылки спама он умеет «лечить» систему от других угроз, причем справляется с этой задачей на удивление успешно.
Распространяется он несколькими различными способами: с помощью программы Skype, через социальные сети и съемные накопители.
Основное назначение Trojan.Tofsee – это рассылка спама, при этом тексты отправляемых писем формируются с помощью специальных шаблонов, которые троян скачивает с сервера злоумышленников. Любопытно, что для создания отправляемых писем троянец использует собственный скриптовый язык, что само по себе является большой редкостью в мире вредоносного программного обеспечения.
Однако наибольший интерес с точки зрения своего функционального назначения представляет модуль трояна, предназначенный для поиска и удаления на инфицированном компьютере всех обнаруженных троянов и других вредоносных программ (за исключением, разумеется, самого Trojan.Tofsee). Этот плагин может искать на диске файлы по заданному списку, а также записи в системном реестре Windows, перечислять запущенные процессы и удалять обнаруженные опасные файлы. Таким образом, даже если на компьютере жертвы не установлена антивирусная программа, Trojan.Tofsee «заботится» о его безопасности.
По материалам пресс-релиза компании «Доктор Веб».
Источник
а вы говорите что вирусы плохиеDmeh-Smeh-Smeh!!!
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
В посте на Хабре,такое поведение троянца обосновывают тем,что если на компе у пользователя будут жить куча всяких вредоносов,то юзер почувствует падение производительности своей машины и начнёт искать причину,сканировать различными аверовскими продуктами.И тогда пиз..ы получат все,кто тусовался на компе,а так он тихо и незаметно сидит себе и рассылает спам.
Да и ещё в коммах выложили статью в тему.Вредоносное ПО тоже применяет SRP.
 

Nedovirus

Уважаемый пользователь
Форумчанин
Регистрация
14.05.2014
Сообщения
399
Репутация
334
1. Про функционал "антивируса" можно узнать даже из тем продажи известных ддос-ботов - у некоторых заявляется функционал удаления конкурентов из системы (не всех малварей, а конкурентов, которые заранее изучены и они прибиваются по путям/простеньким хэшам/правилам).
2. Использование SRP для блокировки аверских тулз это неимоверно старая технология, помню, что в свое время (лет эдак 8 назад...) малварь крайне любила подобным образом (путем внесения определенных записей в реестр) блокировать avz.exe, поэтому (ну и не только поэтому) тогда появилась "полиморфная версия", где все базы вшиты в тело, имя рандом, имя окон/классов тоже...
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 378
Репутация
7 874
Telegram
Использование SRP для блокировки аверских тулз это неимоверно старая технология
А определяют авер по цифровой подписи ?

Если да, то вроде все аверы имеют цифровую подпись-же, по ним и можно определить что запускается АВ и соответственно блокировать его...

И тогда бесполезно делать имя рандом и т.д. !Не въехал!!!
 

Nedovirus

Уважаемый пользователь
Форумчанин
Регистрация
14.05.2014
Сообщения
399
Репутация
334
имя процесса в реестр вписывают и венда лочит запуск