Forscher von Trend Micro weisen auf einen neuen Trick der in Japan kursierenden Banking-Malware BKDR_VAWTRAK hin. Sie nutzt die Windows Software Restriction Policies (SRP), also eine Systemfunktion, um die Rechte von Antiviren- und Sicherheitssoftware einzuschränken. Auch eine Lösung von Trend Micro selbst ist betroffen.
SRP war mit Windows XP und Windows Server 2003 eingeführt worden. Es wird über Gruppenrichtlinien verwaltet. Administratoren können damit schwarze und weiße Listen bestimmter ausführbarer Programme erstellen oder sie auf eine Ausführung nur mit Standardrechten beschränken.
SRP lässt sich in jeder Version über den Editor für lokale Richtlinien aufrufen. Änderungen schlagen sich letztlich in Registry-Einträgen nieder, die sich auch auf direktem Weg erstellen lassen. Dies ist das Verfahren, das die Malware laut Trend Micro wählt.
Versucht ein Anwender, eine solchermaßen gesperrte Anwendung auszuführen, erhält er nur einen Sperrhinweis. Er möge sich an seinen Administrator wenden, steht darunter.
Um die Registry manipulieren zu können, muss die Schadsoftware selbst mit erhöhten Privilegien ausgestattet sein und die parallel laufende Sicherheitssoftware erst einmal umgehen, bevor sie einen Blockadeversuch starten kann. Ein Update der Sicherheitssoftware könnte natürlich zu einer Entdeckung führen, wenn diese denn nicht mehr blockiert sein sollte.
Es ist nicht das erste Mal, dass Malware SRP nutzt. Trend Micro schätzt die Bedrohung im Fall von VAWTRAK aber als besonders groß ein. Es zählt 53 Sicherheitsprodukte auf, nach denen die Malware auf infizierten Systemen sucht, um ihre Ausführung zu verhindern.
Ironisch ist rückblickend, dass Microsoft SRP im Jahr 2002 auf Technet mit den Worten einführte, es könne „im Kampf gegen Viren“ eingesetzt werden. Als Vorteile schilderte es auch die Möglichkeit, Downloads von ActiveX-Controls auf einzelne einzuschränken, nur signierte Skripte auszuführen, die Ausführung von Software auf genehmigte Programme zu beschränken und Maschinen komplett zu sperren.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
