Ερευνητές από την Trend Micro ανακάλυψαν το BKDR_VAWTRAK ένα τραπεζικό malware. Το συγκεκριμένο κακόβουλο πρόγραμμα χρησιμοποιεί τις πολιτικές περιορισμών των Windows (Software Restriction Policies ή SRP) για να περιορίσει τα προνόμια των λογισμικών ασφάλειας, συμπεριλαμβανομένου και αυτού της Trend Micro.
Το SRP είναι ένα χαρακτηριστικό που προστέθηκε στα λειτουργικά Windows XP και Windows Server 2003 και διαχειρίζεται μέσω του Group Policy. Έχει σχεδιαστεί για να επιτρέπει στους διαχειριστές να περνάνε στη μαύρη λίστα ή στη λευκή λίστα ειδικά εκτελέσιμα προγράμματα, ή να περιορίζουν τους μη προνομιούχους χρήστες.
Βέβαια δεν είναι η πρώτη φορά που το SRP χρησιμοποιείται από κακόβουλο λογισμικό.
Το SRP μπορεί επίσης να χρησιμοποιηθεί για το Local Policy Editor σε οποιαδήποτε έκδοση των Windows:
Δεδομένου τώρα ότι οι πολιτικές αυτές μεταφράζονται σε κλειδιά μητρώου (registry keys) στα συστήματα που χρησιμοποιούνται, είναι δυνατό να δημιουργηθούν κλειδιά μητρώου άμεσα, κάτι το οποίο, όπως αναφέρει η Trend Micro κάνει το κακόβουλο λογισμικό. Στο παραπάνω παράδειγμα, φαίνονται τα κλειδιά μητρώου που δημιουργήθηκαν στο HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers.
Όταν ο χρήστης προσπαθεί να τρέξει το εκτελέσιμο αρχείο, εμποδίζεται από τα Windows:
Έτσι το κακόβουλο λογισμικό πέρνει τον έλεγχο του υπολογιστή, καθώς εκτελεί μόνο τα αρχεία που επιθυμεί. Δυνητικά, ένα ενημερωμένο λογισμικό ασφαλείας θα μπορούσε να βρει το κακόβουλο λογισμικό, αλλά το κακόβουλο λογισμικό το έχει αποκλείσει.
Κατά ειρωνικό τρόπο, το άρθρο της Microsoft στο TechNet αναφέρει στην περιγραφή του SRP τη ημέρα της κυκλοφορίας του (το 2002) πώς μπορεί να χρησιμοποιηθεί για την “καταπολέμηση των ιών.” Microsoft for ever!
Την ειρωνεία δεν βλέπω.