Forscher von Trend Micro weisen auf einen neuen Trick der in Japan kursierenden Banking-Malware BKDR_VAWTRAK hin. Sie nutzt die Windows Software Restriction Policies (SRP), also eine Systemfunktion, um die Rechte von Antiviren- und Sicherheitssoftware einzuschränken. Auch eine Lösung von Trend Micro selbst ist betroffen.
SRP war mit Windows XP und Windows Server 2003 eingeführt worden. Es wird über Gruppenrichtlinien verwaltet. Administratoren können damit schwarze und weiße Listen bestimmter ausführbarer Programme erstellen oder sie auf eine Ausführung nur mit Standardrechten beschränken.
SRP lässt sich in jeder Version über den Editor für lokale Richtlinien aufrufen. Änderungen schlagen sich letztlich in Registry-Einträgen nieder, die sich auch auf direktem Weg erstellen lassen. Dies ist das Verfahren, das die Malware laut Trend Micro wählt.
Versucht ein Anwender, eine solchermaßen gesperrte Anwendung auszuführen, erhält er nur einen Sperrhinweis. Er möge sich an seinen Administrator wenden, steht darunter.
Um die Registry manipulieren zu können, muss die Schadsoftware selbst mit erhöhten Privilegien ausgestattet sein und die parallel laufende Sicherheitssoftware erst einmal umgehen, bevor sie einen Blockadeversuch starten kann. Ein Update der Sicherheitssoftware könnte natürlich zu einer Entdeckung führen, wenn diese denn nicht mehr blockiert sein sollte.
Es ist nicht das erste Mal, dass Malware SRP nutzt. Trend Micro schätzt die Bedrohung im Fall von VAWTRAK aber als besonders groß ein. Es zählt 53 Sicherheitsprodukte auf, nach denen die Malware auf infizierten Systemen sucht, um ihre Ausführung zu verhindern.
Ironisch ist rückblickend, dass Microsoft SRP im Jahr 2002 auf Technet mit den Worten einführte, es könne „im Kampf gegen Viren“ eingesetzt werden. Als Vorteile schilderte es auch die Möglichkeit, Downloads von ActiveX-Controls auf einzelne einzuschränken, nur signierte Skripte auszuführen, die Ausführung von Software auf genehmigte Programme zu beschränken und Maschinen komplett zu sperren.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
