Windows-Sicherheitsfunktionen werden missbraucht

Originalartikel von Marilyn Melliang, Senior Threat Research Engineer

Kürzlich hatte es Angriffe auf japanische Nutzer über die BKDR_VAWTRAK-Schadsoftware gegeben. Diese Malware verbindet Backdoor- mit Infodiebstahlverhalten und hat gerade ihr Repertoire um Fähigkeiten für den Diebstahl von Bankdaten erweitert. Auch versucht der Schädling, die Berechtigungen von Sicherheitssoftware herabzusetzen.

Software-Beschränkungsrichtlinien werden missbraucht

Diese Funktionalität, die VAWTRAK zum Aushebeln von Sicherheitssoftware genutzt hat, ist als Software Restriction Policies bekannt. Sie wurde mit Windows XP und Server 2003 eingeführt. Die Microsoft-eigene Dokumentation besagt, dass die Funktionalität folgende Aufgaben hat:

  1. Bekämpft Viren,
  2. Legt fest, welche ActiveX Controls heruntergeladen werden können,
  3. Führt nur Skripts mit digitaler Signatur aus,
  4. Stellt sicher, dass nur genehmigte Software auf den Computern installiert wird,
  5. Sperrt eine Maschine.

Es gibt mehrere Methoden, um festzustellen, welche Dateien auf einem System an der Ausführung gehindert werden. VAWTRAK nutzt den Pfad, auf dem die Anwendungen installiert werden, um festzulegen, of sie blockiert werden sollten oder nicht. Der Schädling checkt die folgenden Verzeichnissen, die die verschiedenen Sicherheitsprogramme nutzen, unter %Program Files% and %All Users Profile%\Application:

  • a-squared Anti-Malware
  • a-squared HiJackFree
  • Agnitum
  • Alwil Software
  • AnVir Task Manager
  • ArcaBit
  • AVAST Software
  • AVG
  • avg8
  • Avira GmbH
  • Avira
  • BitDefender
  • BlockPost
  • Common Files\Doctor Web
  • Common Files\G DATA
  • Common Files\P Tools
  • Common Files\Symantec Shared
  • DefenseWall
  • DefenseWall HIPS
  • Doctor Web
  • DrWeb
  • ESET
  • f-secure
  • F-Secure\F-Secure Internet Security
  • FRISK Software
  • G DATA
  • K7 Computing
  • Kaspersky Lab Setup Files
  • Kaspersky Lab
  • Lavasoft
  • Malwarebytes
  • Malwarebytes’ Anti-Malware
  • McAfee
  • McAfee.com
  • Microsoft Security Client
  • Microsoft Security Essentials
  • Microsoft\Microsoft Antimalware
  • Norton AntiVirus
  • Online Solutions
  • P Tools Internet Security
  • P Tools
  • Panda Security
  • Positive Technologies
  • Sandboxie
  • Security Task Manager
  • Spyware Terminator
  • Sunbelt Software
  • Symantec
  • Trend Micro
  • UAenter
  • Vba32
  • Xore
  • Zillya Antivirus

Findet der Schädling eines der obigen Verzeichnisse, so fügt er Registry-Einträge hinzu, um Anwendungen in dem Verzeichnis zu zwingen, mit eingeschränkten Rechten zu laufen:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths\{generated GUID for the AV software} ItemData = “{AV software path}” SaferFlags = “0”

Dateien unter dem angegebenen Verzeichnis werden nicht ausgeführt und geben eine Fehlermeldung aus:


Bild 1. Fehlermeldung

Diese Taktik gab es schon mehrfach, die Schwere der kürzlichen VAWTRAK-Angriffe zeigen aber, dass mehr Nutzer davon betroffen sind als üblich.

Trend Micro erkennt und entfernt die BKDR_VAWTRAK-Schadsoftware und erkennt darüber hinaus dieses spezielle Verhalten, sodass die Produkte weiter laufen können.

Der Dank geht auch an Rhena Inocencio für die Malware-Analyse und Roddell Santos sowie Dexter To.

Ein Gedanke zu „Windows-Sicherheitsfunktionen werden missbraucht

  1. Pingback: Neue Banking-Schadsoftware liest Datenverkehr mit | blog.trendmicro.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.