木馬也會(huì)自學(xué)組策略,攔截XP/Win7殺毒軟件

2014/6/13 20:45:42    編輯:軟媒 - 阿象     字體:【

Win7之家afsion.com.cn):木馬也會(huì)自學(xué)組策略,攔截XP/Win7殺毒軟件

6月13日消息,國際安全廠商趨勢科技公司發(fā)布一份安全警報(bào)(點(diǎn)擊這里訪問),近期在日本地區(qū)發(fā)現(xiàn)一款BKDR_VAWTRAK惡意木馬程序。這款木馬整合了后門和程序行為功能,專門從事竊取銀行憑證。

除了會(huì)盜取用戶銀行信息外,這款惡意木馬還會(huì)嘗試對第三方殺毒軟件降低權(quán)限,甚至?xí)詫W(xué)組策略中“軟件限制策略”,屏蔽、攔截XP、Win7平臺(tái)的殺毒軟件等產(chǎn)品。

“軟件限制策略”本身是提供給企業(yè)管理員控制Windows系統(tǒng)運(yùn)行的軟件,支持手動(dòng)給應(yīng)用程序設(shè)置白名單和黑名單,可以通過加密哈希、下載源、數(shù)字簽名和系統(tǒng)安裝路徑識(shí)別第三方的應(yīng)用程序。而這款BKDR_VAWTRAK惡意木馬使用第四種系統(tǒng)安裝路徑識(shí)別第三方殺毒軟件,最終限制安全產(chǎn)品的正常運(yùn)行和實(shí)時(shí)保護(hù)服務(wù)。

具體識(shí)別系統(tǒng)路徑為:%Program Files% and %All Users Profile%\Application,該文件夾記錄所有第三方殺毒軟件產(chǎn)品信息。一旦該木馬識(shí)別到當(dāng)前系統(tǒng)上的殺毒軟件目錄,它將自動(dòng)將以下規(guī)則寫入注冊表,將第三方殺毒軟件限制在特殊權(quán)限以下。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths\{generated GUID for the AV software} ItemData = “{AV software path}” SaferFlags = “0”

如果該規(guī)則寫入注冊表后,Windows用戶運(yùn)行第三方殺毒軟件產(chǎn)品后,直接返回一條錯(cuò)誤提示信息,如下圖所示:

目前,該惡意木馬已支持?jǐn)r截包括微軟、賽門鐵克、卡巴斯基、趨勢科技等多家國內(nèi)外知名殺毒軟件,IT之家提醒Windows用戶及時(shí)升級殺毒軟件特征庫,全盤查殺下本地系統(tǒng)盤、注冊表等目錄。