趋势科技公司(Trend Micro)研究人员在研究日本地区BKDR_VAWTRAK银行恶意软件方面取得了新的进展,
恶意软件利用Windows安全功能阻拦安全软件病毒防范
。该银行恶意软件使用Windows软件限制策略(SRP)限制安全软件的特权,包括限制趋势科技提供的安全软件服务特权。软件限制策略是一项被引入Windows XP和Windows Server 2003的功能,这项功能通常通过组策略(Group Policy)进行管理。SRP功能的目的是允许管理员将特定的可执行程序列入黑名单和白名单,或者限制无特权用户(标准用户)执行。
虽然这并不是SRP第一次被恶意软件利用,但趋势科技认为显著的VAWTRAK攻击致使它显得更为重要。
无论在哪一版本的Windows系统中,SRP都可被本地策略编辑器(Local Policy Editor)调用:
此外,由于本地策略在系统中转化为注册表键值进行管理,所以直接创建注册表键值也是可能的,这正是趋势科技记录中恶意软件的做法,
电脑资料
《恶意软件利用Windows安全功能阻拦安全软件病毒防范》(http://meiwen.anslib.com)。在上图的示例中,放置该注册表键值的地址为HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowssafercodeidentifiers。当用户试图运行这个可执行文件时,Windows便会阻止用户这样操作:
恶意软件本身必须要在有享有权限的环境下被执行,这样才能创建这些注册表键值,而且不论当前正在运行的安全软件正试图阻止它它也必须完成自身的执行。很可能,安全软件更新也许能够发现这个恶意软件,但如果该恶意软件已经以这种方式将其封锁,安全软件将无法发现这个恶意软件的潜入。
具有讽刺意味的是,在2002年新年第一天,微软TechNet在一篇文章中介绍SRP时描述了它如何可以用来“对抗病毒”。这篇文章中还描述了SRP的其他用途:
•管理可下载的ActiveX控件
•仅在数字签名脚本下运行
•仅批准电脑系统中已安装软件的执行
•锁定一台计算机
趋势科技列出了53个系统可能被恶意软件感染的产品和公司。