Malware χρησιμοποιεί τις πολιτικές περιορισμών των Windows

Ερευνητές από την Trend Micro ανακάλυψαν το BKDR_VAWTRAK ένα τραπεζικό . Το συγκεκριμένο κακόβουλο πρόγραμμα χρησιμοποιεί τις πολιτικές περιορισμών των (Software Restriction Policies ή SRP) για να περιορίσει τα προνόμια των λογισμικών ασφάλειας, συμπεριλαμβανομένου και αυτού της Trend Micro

malware

Το SRP είναι ένα χαρακτηριστικό που προστέθηκε στα λειτουργικά Windows XP και Windows Server και διαχειρίζεται μέσω του Group Policy. Έχει σχεδιαστεί για να επιτρέπει στους διαχειριστές να περνάνε στη μαύρη λίστα ή στη λευκή λίστα ειδικά εκτελέσιμα προγράμματα, ή να περιορίζουν τους μη προνομιούχους χρήστες.

Βέβαια δεν είναι η πρώτη φορά που το SRP χρησιμοποιείται από κακόβουλο λογισμικό.

Το SRP μπορεί επίσης να χρησιμοποιηθεί για το Local Policy σε οποιαδήποτε έκδοση των Windows:
srp

Δεδομένου τώρα ότι οι πολιτικές αυτές μεταφράζονται σε κλειδιά μητρώου ( keys) στα συστήματα που χρησιμοποιούνται, είναι δυνατό να δημιουργηθούν κλειδιά μητρώου άμεσα, κάτι το οποίο, όπως αναφέρει η Trend Micro κάνει το κακόβουλο λογισμικό. Στο παραπάνω παράδειγμα, φαίνονται τα κλειδιά μητρώου που δημιουργήθηκαν στο HKEY_LOCAL_MACHINE\SOFTWARE\Policies\\Windows\safer\codeidentifiers.

  iBanking Trojan παρακάμπτει τον έλεγχο ταυτότητας δύο παραγόντων και κυκλοφορεί ελεύθερο

Όταν ο χρήστης προσπαθεί να τρέξει το εκτελέσιμο αρχείο, εμποδίζεται από τα Windows:

srp-

Έτσι το κακόβουλο λογισμικό πέρνει τον έλεγχο του υπολογιστή, καθώς εκτελεί μόνο τα αρχεία που επιθυμεί. Δυνητικά, ένα ενημερωμένο λογισμικό ασφαλείας θα μπορούσε να βρει το κακόβουλο λογισμικό, αλλά το κακόβουλο λογισμικό το έχει αποκλείσει.

Κατά ειρωνικό τρόπο, το άρθρο της Microsoft στο TechNet αναφέρει στην περιγραφή του SRP τη ημέρα της κυκλοφορίας του (το 2002) πώς μπορεί να χρησιμοποιηθεί για την “καταπολέμηση των ιών.” Microsoft for ever!

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

One Comment

Leave a Reply

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


80  +    =  86