木馬也會(huì)自學(xué)組策略，攔截XP/Win7殺毒軟件

Win7之家（ www.afsion.com.cn）：木馬也會(huì)自學(xué)組策略，攔截XP/Win7殺毒軟件

6月13日消息，國(guó)際安全廠商趨勢(shì)科技公司發(fā)布一份安全警報(bào)（點(diǎn)擊這里訪問(wèn)），近期在日本地區(qū)發(fā)現(xiàn)一款BKDR_VAWTRAK惡意木馬程序。這款木馬整合了后門和程序行為功能，專門從事竊取銀行憑證。

除了會(huì)盜取用戶銀行信息外，這款惡意木馬還會(huì)嘗試對(duì)第三方殺毒軟件降低權(quán)限，甚至?xí)�自學(xué)組策略中“軟件限制策略”，屏蔽、攔截XP、Win7平臺(tái)的殺毒軟件等產(chǎn)品。

“軟件限制策略”本身是提供給企業(yè)管理員控制Windows系統(tǒng)運(yùn)行的軟件，支持手動(dòng)給應(yīng)用程序設(shè)置白名單和黑名單，可以通過(guò)加密哈希、下載源、數(shù)字簽名和系統(tǒng)安裝路徑識(shí)別第三方的應(yīng)用程序。而這款BKDR_VAWTRAK惡意木馬使用第四種系統(tǒng)安裝路徑識(shí)別第三方殺毒軟件，最終限制安全產(chǎn)品的正常運(yùn)行和實(shí)時(shí)保護(hù)服務(wù)。

具體識(shí)別系統(tǒng)路徑為：%Program Files% and %All Users Profile%\Application，該文件夾記錄所有第三方殺毒軟件產(chǎn)品信息。一旦該木馬識(shí)別到當(dāng)前系統(tǒng)上的殺毒軟件目錄，它將自動(dòng)將以下規(guī)則寫入注冊(cè)表，將第三方殺毒軟件限制在特殊權(quán)限以下。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths\{generated GUID for the AV software} ItemData = “{AV software path}” SaferFlags = “0”

如果該規(guī)則寫入注冊(cè)表后，Windows用戶運(yùn)行第三方殺毒軟件產(chǎn)品后，直接返回一條錯(cuò)誤提示信息，如下圖所示：

目前，該惡意木馬已支持?jǐn)r截包括微軟、賽門鐵克、卡巴斯基、趨勢(shì)科技等多家國(guó)內(nèi)外知名殺毒軟件，IT之家提醒Windows用戶及時(shí)升級(jí)殺毒軟件特征庫(kù)，全盤查殺下本地系統(tǒng)盤、注冊(cè)表等目錄。