Sub masca informațiilor pe care le căutați, un fișier executabil este plasat pe computer, după care fereastra Windows Explorer este deschisă. Între timp, un program rău intenționat este deja instalat în sistem și caută antivirusul instalat în acesta.
După ce căutarea este finalizată, computerul este repornit în modul sigur al Windows și antivirusul instalat în sistem este șters. În același timp, în arsenalul programului există proceduri pentru eliminarea multor produse antivirus populare, spun experții Doctor Web.
Deoarece modulul de lucrări auto Dr.Web SelfPROtect în Windows Safe Mode pentru a elimina Dr.Web troian pentru a utiliza o componentă suplimentară (Trojan.AVKill.2942), exploatând vulnerabilitatea acestui modul. Până în prezent, această vulnerabilitate a fost închisă. Nu au fost necesare module suplimentare pentru a elimina alte produse antivirus de la troian.
După ce computerul este deblocat, troianul simulează antivirusul instalat înainte de infecție, utilizând o componentă pe care Dr.Web o detectează ca Trojan.Fakealert.19448. În zona de notificare Windows, este afișată o pictogramă care este identică cu antivirusul care a funcționat în sistem înainte de a fi șters. Când se face clic pe această pictogramă, apare o fereastră similară ferestrei de interfață antivirus la distanță, indicând faptul că computerul este încă protejat.
Când faceți clic pe imagine, se închide. Astfel, pentru utilizatorii prost pregătiți, se creează o iluzie în care protecția antivirus a sistemului continuă să funcționeze în modul normal.
Trimiteți-le prietenilor: