Banking malware using Windows to block anti-malware apps
BKDR_VAWTRAK đang sử dụng các chính sách Hạn chế Phần mềm để hạn chế phần mềm an ninh
BKDR_VAWTRAK is using Software Restriction Policies to restrict security software.
by Peter Bright - June 13 2014, 6:43am ICT
Bài được đưa lên Internet ngày: 13/06/2014
Lời người dịch: Trích đoạn về một tính năng mới của Windows bị lạm dụng: “BKDR_VAWTRAK đang sử dụng phương pháp cuối cùng, đường dẫn, để khóa sự truy cập tới các phần mềm an ninh. Kết quả thật trớ trêu. Chính sách Hạn chế Phần mềm - SRP (Software Restriction Policies) có ý định cải thiện an ninh hệ thống bằng việc ngăn chặn sử dụng các phần mềm không mong muốn. Ở đây, chúng đang được sử dụng để làm giảm an ninh hệ thống bằng việc ngăn chặn sử dụng các phần mềm mong muốn. Trong khi Trend Micro nói đây không phải là phần mềm độc hại đầu tiên sử dụng kỹ thuật này để ngăn chặn sự dò tìm và loại bỏ, thì điều đáng kể vì BKDR_VAWTRAK đã trở nên rộng khắp ở Nhật”.
Một trojan hiện đang hoạt động ở Nhật đang sử dụng bản thân Windows để cố thắng được các phần mềm an ninh trong các máy tính bị lây nhiễm.
Trend Micro nói rằng phần mềm độc hại BKDR_VAWTRAK, ăn cắp các quyền được sử dụng cho ngân hàng trược tuyến ở một số ngân hàng Nhật, đang sử dụng một tính năng của Windows gọi là các Chính sách Hạn chế Phần mềm - SRP (Software Restriction Policies) để ngăn cảnh các hệ thống bị lây nhiễm khỏi chạy một dải rộng lớn các chương trình an ninh, bao gồm các phần mềm chống virus từ Microsoft, Symantec và Intel. Tổng cộng 53 chương trình khác nhau bị phần mềm độc hại này khóa.
SRP có ý định trao cho các quản trị viên tập đoàn quyền kiểm soát lớn hơn đối với phần mềm mà các hệ thống có thể chạy. Thường được cấu hình thông qua các Chính sách Nhóm (Group Policies), các quản trị có thể vừa đưa các ứng dụng vào danh sách đen và danh sách trắng. Các ứng dụng có thể đượcu nhận diện theo vài cách thức; bằng hàm baưm mật mã của chúng, bằng chữ ký điện tử, nguồn tải về của chúng, hoặc đơn giản đường dẫn của chúng trong máy.
BKDR_VAWTRAK đang sử dụng phương pháp cuối cùng, đường dẫn, để khóa sự truy cập tới các phần mềm an ninh.
Kết quả thật trớ trêu. SRP có ý định cải thiện an ninh hệ thống bằng việc ngăn chặn sử dụng các phần mềm không mong muốn. Ở đây, chúng đang được sử dụng để làm giảm an ninh hệ thống bằng việc ngăn chặn sử dụng các phần mềm mong muốn.
Trong khi Trend Micro nói đây không phải là phần mềm độc hại đầu tiên sử dụng kỹ thuật này để ngăn chặn sự dò tìm và loại bỏ, thì điều đáng kể vì BKDR_VAWTRAK đã trở nên rộng khắp ở Nhật.
A trojan that's currently doing the rounds in Japan is using Windows itself to try to defeat security software on infected machines.
Trend Micro reports that the BKDR_VAWTRAK malware, which steals credentials used for online banking at some Japanese banks, is using a Windows feature called Software Restriction Policies (SRP) to prevent infected systems from running a wide range of security programs, including anti-virus software from Microsoft, Symantec, and Intel. A total of 53 different programs are blocked by the malware.
SRP is intended to give corporate administrators greater control over the software that systems can run. Normally configured through Group Policies, administrators can both whitelist and blacklist applications. Applications can be identified in several ways; by their cryptographic hash, digital signature, their download source, or simply their path on the system.
BKDR_VAWTRAK is using this last method, the path, to block access to security software.
The result is ironic. SRPs are intended to enhance system security by preventing the use of undesirable software. Here, they're being used to reduce system security by preventing the use of desirable software.
While Trend Micro says this isn't the first malware to use this technique to prevent detection and removal, it's significant because BKDR_VAWTRAK has become widespread in Japan.
Dịch: Lê Trung Nghĩa