木馬也會自學組策略，攔截XP/Win7殺毒軟件

Win7之家（ afsion.com.cn）：木馬也會自學組策略，攔截XP/Win7殺毒軟件

6月13日消息，國際安全廠商趨勢科技公司發(fā)布一份安全警報（點擊這里訪問），近期在日本地區(qū)發(fā)現(xiàn)一款BKDR_VAWTRAK惡意木馬程序。這款木馬整合了后門和程序行為功能，專門從事竊取銀行憑證。

除了會盜取用戶銀行信息外，這款惡意木馬還會嘗試對第三方殺毒軟件降低權限，甚至會自學組策略中“軟件限制策略”，屏蔽、攔截XP、Win7平臺的殺毒軟件等產(chǎn)品。

“軟件限制策略”本身是提供給企業(yè)管理員控制Windows系統(tǒng)運行的軟件，支持手動給應用程序設置白名單和黑名單，可以通過加密哈希、下載源、數(shù)字簽名和系統(tǒng)安裝路徑識別第三方的應用程序。而這款BKDR_VAWTRAK惡意木馬使用第四種系統(tǒng)安裝路徑識別第三方殺毒軟件，最終限制安全產(chǎn)品的正常運行和實時保護服務。

具體識別系統(tǒng)路徑為：%Program Files% and %All Users Profile%\Application，該文件夾記錄所有第三方殺毒軟件產(chǎn)品信息。一旦該木馬識別到當前系統(tǒng)上的殺毒軟件目錄，它將自動將以下規(guī)則寫入注冊表，將第三方殺毒軟件限制在特殊權限以下。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths\{generated GUID for the AV software} ItemData = “{AV software path}” SaferFlags = “0”

如果該規(guī)則寫入注冊表后，Windows用戶運行第三方殺毒軟件產(chǎn)品后，直接返回一條錯誤提示信息，如下圖所示：

目前，該惡意木馬已支持攔截包括微軟、賽門鐵克、卡巴斯基、趨勢科技等多家國內外知名殺毒軟件，IT之家提醒Windows用戶及時升級殺毒軟件特征庫，全盤查殺下本地系統(tǒng)盤、注冊表等目錄。