Banking
malware using Windows to block anti-malware apps
BKDR_VAWTRAK
đang sử dụng các chính sách Hạn chế Phần mềm để
hạn chế phần mềm an ninh
BKDR_VAWTRAK
is using Software Restriction Policies to restrict security software.
by
Peter Bright - June 13 2014, 6:43am ICT
Bài
được đưa lên Internet ngày: 13/06/2014
Lời
người dịch: Trích đoạn về một tính năng mới của
Windows bị lạm dụng: “BKDR_VAWTRAK đang sử dụng
phương pháp cuối cùng, đường dẫn, để khóa sự truy
cập tới các phần mềm an ninh. Kết quả thật trớ trêu.
Chính sách Hạn chế Phần mềm - SRP (Software Restriction
Policies) có ý định cải thiện an ninh hệ thống bằng
việc ngăn chặn sử dụng các phần mềm không mong muốn.
Ở đây, chúng đang được sử dụng để làm giảm an
ninh hệ thống bằng việc ngăn chặn sử dụng các phần
mềm mong muốn. Trong khi Trend Micro nói đây không phải
là phần mềm độc hại đầu tiên sử dụng kỹ thuật
này để ngăn chặn sự dò tìm và loại bỏ, thì điều
đáng kể vì BKDR_VAWTRAK đã trở nên rộng khắp ở
Nhật”.
Một
trojan hiện đang hoạt động ở Nhật đang sử dụng bản
thân Windows để cố thắng được các phần mềm an ninh
trong các máy tính bị lây nhiễm.
Trend
Micro nói rằng phần mềm độc hại BKDR_VAWTRAK, ăn cắp
các quyền được sử dụng cho ngân hàng trược tuyến ở
một số ngân hàng Nhật, đang sử dụng một tính năng
của Windows gọi là các Chính sách Hạn chế Phần mềm -
SRP (Software Restriction Policies) để ngăn cảnh các hệ
thống bị lây nhiễm khỏi chạy một dải rộng lớn các
chương trình an ninh, bao gồm các phần mềm chống virus từ
Microsoft, Symantec và Intel. Tổng cộng 53 chương trình khác
nhau bị phần mềm độc hại này khóa.
SRP
có ý định trao cho các quản trị viên tập đoàn quyền
kiểm soát lớn hơn đối với phần mềm mà các hệ thống
có thể chạy. Thường được cấu hình thông qua các
Chính sách Nhóm (Group Policies), các quản trị có thể vừa
đưa các ứng dụng vào danh sách đen và danh sách trắng.
Các ứng dụng có thể đượcu nhận diện theo vài cách
thức; bằng hàm baưm mật mã của chúng, bằng chữ ký
điện tử, nguồn tải về của chúng, hoặc đơn giản
đường dẫn của chúng trong máy.
BKDR_VAWTRAK
đang sử dụng phương pháp cuối cùng, đường dẫn, để
khóa sự truy cập tới các phần mềm an ninh.
Kết
quả thật trớ trêu. SRP có ý định cải thiện an ninh hệ
thống bằng việc ngăn chặn sử dụng các phần mềm
không mong muốn. Ở đây, chúng đang được sử dụng để
làm giảm an ninh hệ thống bằng việc ngăn chặn sử dụng
các phần mềm mong muốn.
Trong
khi Trend Micro nói đây không phải là phần mềm độc hại
đầu tiên sử dụng kỹ thuật này để ngăn chặn sự dò
tìm và loại bỏ, thì điều đáng kể vì BKDR_VAWTRAK đã
trở nên rộng khắp ở Nhật.
A
trojan that's currently doing the rounds in Japan is using Windows
itself to try to defeat security software on infected machines.
Trend
Micro reports that the BKDR_VAWTRAK malware, which steals credentials
used for online banking at some Japanese banks, is using a Windows
feature called Software Restriction Policies (SRP) to prevent
infected systems from running a wide range of security programs,
including anti-virus software from Microsoft, Symantec, and Intel. A
total of 53 different programs are blocked by the malware.
SRP
is intended to give corporate administrators greater control over the
software that systems can run. Normally configured through Group
Policies, administrators can both whitelist and blacklist
applications. Applications can be identified in several ways; by
their cryptographic hash, digital signature, their download source,
or simply their path on the system.
BKDR_VAWTRAK
is using this last method, the path, to block access to security
software.
The
result is ironic. SRPs are intended to enhance system security by
preventing the use of undesirable software. Here, they're being used
to reduce system security by preventing the use of desirable
software.
While
Trend Micro says this isn't the first malware to use this technique
to prevent detection and removal, it's significant because
BKDR_VAWTRAK has become widespread in Japan.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.