bankowe malware BKDR_VAWTRAK wykorzystuje do ataku mechanizmy obronne Windows

[ichito]

Interesujące malware zostało wykryte i zanalizowane przez laboratorium Trend Micro - nazywa się ono BKDR_VAWTRAK, a zostało wykryte podczas ataku na japońskie banki. Mechanizm działania jest prosty i dość spektakularny, ponieważ wykorzystuje ono systemowy mechanizm SRP (Software Restriction Policies), którego ideą jest właśnie obniżanie uprawnień dla aplikacji, by nie narobiły w systemie szkody...w tym przypadku wykorzystując ten mechanizm, malware obniża uprawnienia programów zabezpieczających i w rezultacie je unieruchamia.
Cały trik polega na dodaniu przez malware wpisu w rejestrze

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths\{generated GUID for the AV software} ItemData = “{AV software path}” SaferFlags = “0”

co skutkuje alertem systemowym o braku możliwości uruchomieniu pliku wykonawczego AV, jak na przykładzie poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]

Ponieważ wpis ten działa na lokalizację %Program Files% and %All Users Profile%\Application , wygląda na to, że podatne na atakBKDR_VAWTRAK mogą być programy

a-squared Anti-Malware
a-squared HiJackFree
Agnitum
Alwil Software
AnVir Task Manager
ArcaBit
AVAST Software
AVG
avg8
Avira GmbH
Avira
BitDefender
BlockPost
Common Files\Doctor Web
Common Files\G DATA
Common Files\P Tools
Common Files\Symantec Shared
DefenseWall
DefenseWall HIPS
Doctor Web
DrWeb
ESET
f-secure
F-Secure\F-Secure Internet Security
FRISK Software
G DATA
K7 Computing
Kaspersky Lab Setup Files
Kaspersky Lab
Lavasoft
Malwarebytes
Malwarebytes’ Anti-Malware
McAfee
McAfee.com
Microsoft Security Client
Microsoft Security Essentials
Microsoft\Microsoft Antimalware
Norton AntiVirus
Online Solutions
P Tools Internet Security
P Tools
Panda Security
Positive Technologies
Sandboxie
Security Task Manager
Spyware Terminator
Sunbelt Software
Symantec
Trend Micro
UAenter
Vba32
Xore
Zillya Antivirus

Źródło

[Aby zobaczyć linki, zarejestruj się tutaj]