Malware wehrt sich mit Windows-Systemfunktion gegen Sicherheitssoftware

BetriebssystemSicherheitVirusWorkspace
Trend Micro (Bild: Trend Micro)

Der von Trend Micro bemerkte Trojaner BKDR_VAWTRAK macht sich eine Funktion der in Windows enthaltenen Software Restriction Policies zunutze: Er kann ngesamt 53 Security-Programme identifizieren und durch Einträge in der Registry auf eine Blacklist setzen.

Trend Micro hat auf eine raffinierte Masche von Malware-Autoren hingewiesen. Bemerkt wurde sie von dem Sicherheitsanbieter bei der in Japan kursierenden Banking-Malware BKDR_VAWTRAK. Diese nutzt die Windows-Systemfunktion Windows Software Restriction Policies (SRP), um die Rechte von Antiviren- und Sicherheitssoftware einzuschränken. Auch ein Programm von Trend Micro selbst ist davon betroffen.

Der von Trend Micro bemerkte Trojaner BKDR_VAWTRAK macht sich eine Funktion der in Windows enthaltenen Software Restriction Policies zunutze:

SRP ist eine von Microsoft erstmals in Windows XP und Windows Server 2003 angebotene Funktion. Sie wird über Gruppenrichtlinien verwaltet. Administratoren können damit schwarze und weiße Listen ausführbarer Programme erstellen oder deren Ausführung auf Standardrechte beschränken. Änderungen schlagen sich letztlich in Registry-Einträgen nieder, die sich auch aber auch auf direktem Weg erstellen lassen. Dieses Verfahren wendet laut Trend Micro die Malware BKDR_VAWTRAK an.

Versucht ein Anwender, eine solchermaßen gesperrte Anwendung auszuführen, erhält er nur einen Sperrhinweis und die Aufforderung, dass er sich an seinen Administrator wenden soll.

Um die Registry manipulieren zu können, muss die Schadsoftware selbst mit umfassenderen Rechten ausgestattet sein und die parallel laufende Sicherheitssoftware erst einmal umgehen. Ein Update der Sicherheitssoftware könnte natürlich zu einer Entdeckung führen, wenn diese denn nicht mehr blockiert sein sollte.

Zwar hat auch früher schon Malware SRP genutzt, Trend Micro stuft die Gefahr im Fall von BKDR_VAWTRAK aber als besonders groß ein. Es zählt 53 Sicherheitsprodukte auf, nach denen die Malware auf infizierten Systemen sucht, um ihre Ausführung zu verhindern.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen