Симбиоз: после заражения троян начинает защищать систему от других зловредов

    Это отчасти смешно: как пишет DrWeb, они закончили анализировать троян Trojan.Tofsee. Поведение зловреда почти обычно, он рассылает спам, однако у вируса есть одна фишка — после заражения он начинает защищать систему от других вирусов и удалять уже имеющихся конкурентов.



    Как пишут в пресс-релизе: «Порой пользователи пренебрегают необходимостью установки на своем компьютере антивирусного программного обеспечения, и в результате многие из них становятся жертвами распространителей вредоносных программ. Можно сказать, что в этом отношении чуть больше других повезло разве что пользователям, компьютеры которых заразились многокомпонентным троянцем Trojan.Tofsee — помимо рассылки спама он умеет «лечить» систему от других угроз, причем справляется с этой задачей на удивление успешно.»

    В этом есть определенная логика. Если в системе жертвы будут обитать несколько троянов, то пользователь может заметить падение производительности и все-таки начать проверить систему. В этом случае под раздачу попадут все. А так можно жить, рассылать спам и позволять пользователю параллельно выполнять свои задачи. Практически симбиоз.

    Как опять же пишут DrWeb, заражение трояном происходит через социальные сети и Skype. Жертве высылают ссылку, по которой он может ознакомиться с якобы своими интимными фотографиями или видеозаписью «Вот это да! Ты прикалываешься? Такое фото выложить...)». Затем жертва редиректится на страницу, где ей предлагается скачать плагин, позволяющий увидеть свое непотребство. Собственно, в этом плагине и находится Trojan.Tofsee.
    Поделиться публикацией

    Комментарии 38

      –13
      При чем тут падение производительности? Он конкурентов устраняет =)
        +14
        Да, чем дальше, тем больше самой большой дырой в безопасности становятся люди. Но про симбиотическое поведение, это сильно.
        • НЛО прилетело и опубликовало эту надпись здесь
            +18
            Крышует…
              +100
              Вся суть антивируса в одном посте.
                +16
                Это далеко не первый зловред, который устраняет конкурентов.
                  +2
                  Если пошариться по тематическим форумам, то можно увидеть что почти каждый зловред сейчас это умеет или это идет доп. модулем к нему.
                  Тенденции этой уже несколько лет.
                  Особенно трояны-майнеры хорошо умеют делать это, очень внимательно вычищают всех конкурентов.

                  Ребятам из доктор вэба бы разобраться что-ль в малвари, а то они на несколько лет отстают(надеюсь с сигнатурами дела получше чем с пресс-релизами).
                    +1
                    Тенденции этой уже несколько лет.
                    Всё началось намного раньше, ещё под DOS такие были, хотя это и не было массовым явлением.
                  +7
                  Спираль истории
                  Inoculation.1786, 1819
                  Неопасные резидентные вирусы. Сами себя относят к классу «антивирусов».
                  При заражении файлов, уже инфицированных вирусами Inoculation, эти
                  вирусы пытаются удалить из файлов «новоявленных гостей».
                    +4
                    1786, 1819 — это годы жизни? 8)
                      +5
                      Я бы сказал — размер в байтах
                    +7
                    Так может создать антивирус на подобие этого трояна, только без функций спама!
                      +6
                      Да они так и работают :)
                        +3
                        Только не всегда вылечивают и далеко не всегда улучшают производительность )
                        +32
                        Это ведь классная идея. Антивирус бродит по интернету и вылечивает компьютеры. Странно, что этого еще никто не сделал just for fun.
                          +8
                          Странствующий рыцарь?
                            +3
                            Вспоминается Дзюбей из полнометражки Ninja Scroll.
                            +5
                            Ваш компьютер был очищен во имя Добра! *и самоудалился*
                              +8
                              Было такое. Во времена MSBlast были «антивирусы», которые распространялись тем же методом и закрывали дырку в системе, через которую MSBlast распространялся.
                              +3
                              Без функции спама он не сможет «самораспостранятся».
                                +11
                                Но с функцией локера: «СИСТЕМА НЕ ЗАЩИЩЕНА. ВАША ЛИЦЕНЗИЯ ИСТЕКЛА. ЗАПЛАТИТЕ ДЕНЕГ ДЛЯ ПРОДОЛЖЕНИЯ ЗАЩИТЫ».
                                  +2
                                  Так трояны — это неудачные версии антивирусов. Альфа-версии, без функции лечения.
                                    +1
                                    Вспоминается анекдот (ему уже больше 10 лет):

                                    Как три программиста могут организовать бизнес?

                                    — Один пишет вирусы, а второй антивирусы.
                                    — А третий?
                                    — А третий пишет операционные системы, под которыми это всё работает.
                                    +1
                                    Если верить легенде о том как появился первый вирус и первый антивирус, то первый антивирус (кажется он назывался косарь) так же распространялся по машинам пользователей по типу вируса. Удалял вирус, и через время самоуничтожался.
                                      0
                                      Ждем что то похожее на Анти-анти-руткит
                                        +18
                                        Ждём вирусов, которые для своей работы приводят систему в порядок: обновления безопасности накатывают, решают проблемы с драйверами и софтом… Такой вирус 95% пользователей Интернета с радостью сами поставят и даже приплатят!
                                          +5
                                          Платная версия без рекламы и спама :)
                                            +3
                                            Интересно будет почитать причину удаления такого «вируса» официальными антивирусами, как в политике — «Это скрытый вирус, он только маскируется под хорошего, но однажды нанесет удар по вам и вашим близким»!
                                              +1
                                              Прям история про появление платного антивируса из странствующего трояна который боролся со злом
                                              +2
                                              Теперь DrWeb может модифицировать этого трояна, убрав из него зловредные функции, и оставив только функции защитные и размножения. Останется выпустить его in the wild — и через короткое время машины всех хомячков (и ведь, даже не верится, и компы в наложках, в госорганах, в воинских частях!..) будут сами собой защищены.

                                              Правда, и Веб, и Каспер останутся несколько не у дел в смысле заработка, так что ждать такого развития событий не стоит ).
                                                0
                                                Что лишний раз подтверждает мысль о том, что все эти платные антивирусы танцуют от определения: «И нашим и вашим».
                                                Иначе бы уже давно ушли от методов определения по сигнатурам, единственным, что заставляют держать пользователя на привязи.
                                                  0
                                                  Вообще-то, платные антивирусы действительно ушли от методов определения по сигнатурам по крайней мере для части детектов.
                                                  +1
                                                  А представьте, приходит на службу какая-нибудь тётка, на компе которой поработал такой рыцарь,… — а у неё вместо привычного IE6 стоит новейший, исчезли все надстройки и милые сердцу бары, все программки обновились, поудалялась куча мусора, больше не работают многие сомнительные сайты-рассадники троянов)) Работать же невозможно будет, пол-страны встанет! =)
                                                  +1
                                                  Они так еще додумаются делиться с пользователем прибылью от спама и ддос-атак…
                                                  0
                                                  Только на днях читал: «Банковский троян использует групповые политики (SRP) для блокировки антивирусных программ» blog.windowsnt.lv/2014/06/16/malware-uses-srp/
                                                  Чего ждать дальше? Вирусы соберут собственную децентрализованную антивирусную лабораторию?
                                                    0
                                                    ребят поделитесь вирусом, а то комп лагает…
                                                      0
                                                      Старая идея :-)
                                                      Я так компы в нашей сетке лечил :-)
                                                      у нас пошла эпидемия какого-то вируса, который Нортон не лечил. Ключевая его особенность была в том, что создавался процесс и файл, состоящий из рандомной строки.
                                                      Т.е. буквы и цифры вперемешку.
                                                      Тогда написал небольшую фигню, которая анализирует запущенные процессы, и если среди них есть процессы с более двумя цифрами в тексте, то ищется такой же файл, а потом грохается процесс и файл.
                                                      Встала задача как запустить эту утилитку более чем на 10К машин, многие из которых в другом городе.
                                                      В итоге, файлик узнал пароль админа(в неявном виде, конечно же), научился ставится в автозагрузку на удаленной машине, если его там не было, ну и через месяц самоудалялся. Потом задумался, и добавил функцию отправки на е-майл письма где он был запущен.
                                                      Далее, во все филиалы улетело письмо с наказом запустить в локальной сети.
                                                      Потом была неделя спама в моем почтовом ящике, но фигнюшка справилась на отлично, отработав везде, где только можно :-)

                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                      Самое читаемое