Jak pokazują ostatnie miesiące aktywności szkodliwego oprogramowania cyberprzestępcy coraz więcej uwagi poświęcają próbom wyłączenia, bądź oszukania zainstalowanego antywirusa. W wynikach analiz laboratorium ArcaVir coraz większą popularnością cieszą się kody atakujące program ochronny, bądź starające się ukryć przed wykryciem i usunięciem.

Takie ukrywające funkcje pełnią np. rootkity, których wzmożoną aktywność obserwować można było w lipcu. W sierpniu natomiast nie stanowiły już tak poważnego zagrożenia. Warto jednak wiedzieć, że głównym zadaniem tej aplikacji jest ukrycie procesów systemowych, odpowiedzialnych za działanie wirusów, trojanów itp. w zaatakowanym systemie operacyjnym użytkownika za pomocą zablokowania niektórych jego funkcji. Wykrycie i usunięcie rootkita jest bardzo trudne, ponieważ programy te mogą się ukrywać nawet przed programami antywirusowymi sugerując im, że skanowany system jest „czysty". Jednak istnieją odpowiednie mechanizmy, które dobrze radzą sobie z rootkitami. Inną aplikacją mającą ukrywać szkodliwe kody jest Vanti.Katusha.o. W sierpniowym zestawieniu rodzina Packed.Katusha stanowiła 1,5% wszystkich wykrytych infekcji.

Zupełnie odmienna strategią walki z programami antywirusowymi jest dystrybucja rogueware’u, czyli fałszywego oprogramowania antywirusowego. W ten sposób cyberprzestępcy czerpią zyski bezpośrednio pobierając opłaty licencyjne. Ponadto fałszywy program nie tylko, że nie chroni komputera, ale często również sam ściąga z sieci kolejne szkodliwe programy i infekuje nimi system. Dlatego należy koniecznie sprawdzać pochodzenie i producenta instalowanego antywirusa.

Pełen obraz sierpniowych statystyk aktywności szkodliwego oprogramowania nie odbiega zbytnio od lipcowego. Na szczycie utrzymuje się rodzina trojanów Downloader.Agent.Family  instalujących się na komputerze i pobierająca z internetu inne trojany lub szkodliwe pliki (30% wykrytych infekcji). Tuż za nią plasuje się grupa Trojan.Gamethief.Magania, której głównym celem jest śledzenie aktywności użytkownika w grach online, a szczególnie wykradanie haseł dostępu do tych właśnie gier (20% wykrytych infekcji). Przy podłączaniu do komputera pamięci przenośnej przez port USB należy bardzo uważać na trzecie najbardziej rozpowszechniony kod- Worm.Autorun.Family (10%). Najczęstszą funkcją tego robaka jest rozsyłanie spamu.

Oprócz pozostałej rzeszy szkodliwych kodów, w dużej większości trojanów możemy jeszcze zwrócić uwagę na aktywność Poison.Bnpr. Jest to program typu backdoor (rodzina Backdooor.Poison) wykorzystująca luki w systemie operacyjnym Windows do przejęcia kontroli nad systemem. Uruchamia się w sposób automatyczny wraz sesją logowania do systemu Windows. Jest sterowany przez hackerskie narzędzie Poison Ivy Remote Administration Tool umożliwiając mu praktycznie pełną władzę nad komputerem. W przypadku wykrycia konieczne jest usunięcie pliku Backdoor.Poison zanim zostanie uruchomiony lub usunięcie wykrytych plików, gdy Backdoor działa już w systemie. Usuwanie może wymagać uruchomienia systemu w trybie awaryjnym lub ze specjalnej płyty/dysku zawierającego skaner antywirusowy.

[źródło: www.arcabit.pl]