Malware χρησιμοποιεί τις πολιτικές περιορισμών των Windows

Ερευνητές από την Trend Micro ανακάλυψαν το BKDR_VAWTRAK ένα τραπεζικό malware. Το συγκεκριμένο κακόβουλο πρόγραμμα χρησιμοποιεί τις πολιτικές περιορισμών των Windows (Software Restriction Policies ή SRP) για να περιορίσει τα προνόμια των λογισμικών ασφάλειας, συμπεριλαμβανομένου και αυτού της Trend Micro

malware

Το SRP είναι ένα χαρακτηριστικό που προστέθηκε στα λειτουργικά Windows XP και Windows Server 2003 και διαχειρίζεται μέσω του Group Policy. Έχει σχεδιαστεί για να επιτρέπει στους διαχειριστές να περνάνε στη μαύρη λίστα ή στη λευκή λίστα ειδικά εκτελέσιμα προγράμματα, ή να περιορίζουν τους μη προνομιούχους χρήστες.

Βέβαια δεν είναι η πρώτη φορά που το SRP χρησιμοποιείται από κακόβουλο λογισμικό.

Το SRP μπορεί επίσης να χρησιμοποιηθεί για το Local Policy Editor σε οποιαδήποτε έκδοση των Windows:
srp

Δεδομένου τώρα ότι οι πολιτικές αυτές μεταφράζονται σε κλειδιά μητρώου (registry keys) στα συστήματα που χρησιμοποιούνται, είναι δυνατό να δημιουργηθούν κλειδιά μητρώου άμεσα, κάτι το οποίο, όπως αναφέρει η Trend Micro κάνει το κακόβουλο λογισμικό. Στο παραπάνω παράδειγμα, φαίνονται τα κλειδιά μητρώου που δημιουργήθηκαν στο HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers.

Όταν ο χρήστης προσπαθεί να τρέξει το εκτελέσιμο αρχείο, εμποδίζεται από τα Windows:

srp-

Έτσι το κακόβουλο λογισμικό πέρνει τον έλεγχο του υπολογιστή, καθώς εκτελεί μόνο τα αρχεία που επιθυμεί. Δυνητικά, ένα ενημερωμένο λογισμικό ασφαλείας θα μπορούσε να βρει το κακόβουλο λογισμικό, αλλά το κακόβουλο λογισμικό το έχει αποκλείσει.

Κατά ειρωνικό τρόπο, το άρθρο της Microsoft στο TechNet αναφέρει στην περιγραφή του SRP τη ημέρα της κυκλοφορίας του (το 2002) πώς μπορεί να χρησιμοποιηθεί για την “καταπολέμηση των ιών.” Microsoft for ever!

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

One Comment

Leave a Reply

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).