Developpez.com

Une très vaste base de connaissances en informatique avec
plus de 100 FAQ et 10 000 réponses à vos questions

Le malware BKDR_VAWTRAK utilise une fonctionnalité de sécurité de Windows pour bloquer les antivirus
Plus de 53 logiciels concernés

Le , par Arsene Newman, Expert éminent sénior
Les malwares n’en finissent pas d’évoluer et de se complexifier. C’est du moins ce que révèle un rapport de l’entreprise de sécurité Trend Micro sur le malware BKDR_VAWTRAK.

Ce dernier qui affecte principalement les utilisateurs japonais est un backdoor caractérisé par ses capacités à récupérer et à voler des données sensibles notamment les informations bancaires des victimes.

Mais le principal danger émanant de ce malware réside dans sa capacité à neutraliser les différents logiciels de sécurité et les antivirus d’une manière simple et efficace : en recourant aux stratégies de restriction logicielle (Software Restriction Policies : SRP).

Le SRP est un mécanisme introduit par Microsoft à partir de Windows XP et de Windows Server 2003. Il est généralement administré et lancé via les stratégies de groupes (il peut aussi être lancé depuis l’éditeur de stratégies local disponible sur n’importe quelle version actuelle de Windows). Il permet à l’administrateur de blacklister l’exécution de certains programmes ou encore de restreindre leur utilisation à un niveau non privilégié, en créant une entrée dans le registre Windows.

Ainsi, naturellement, le malware qui s’exécute avec suffisamment de privilèges va créer une entrée semblable à celle du SRP, pour bloquer tous logiciels de sécurité résidant sur la machine de la victime, rendant par la même occasion ces logiciels entièrement inefficaces, même si leurs bases virales contiennent la signature du malware en question.

Au final, ce mécanisme qui a été introduit par Microsoft pour offrir plus de sécurité serait actuellement utilisé par le malware pour bloquer un large panel de plus de 53 antivirus, notamment :
  • Avast Software
  • Avira
  • BitDefender
  • Doctor Web
  • ESET
  • Kaspersky Lab
  • Malwarebytes’ Anti-Malware
  • McAffe
  • Norton AntiVirus
  • Symantec


Source : Trendmicro.com

Et vous ?

Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Tryph Tryph - Membre émérite https://www.developpez.com
le 16/06/2014 à 10:17
Citation Envoyé par Arsene Newman  Voir le message
[...]
Au final, ce mécanisme qui a été introduit par Microsoft pour offrir plus de sécurité serait actuellement utilisé par le malware pour bloquer un large panel de plus de 53 antivirus
[...]
Qu’en pensez-vous ?

c'est "amusant".
Avatar de Uranne-jimmy Uranne-jimmy - Membre expérimenté https://www.developpez.com
le 16/06/2014 à 11:14
Ce qui serait intéressant, c'est d'avoir sinon une méthode pour éradiquer la menace, au moins une méthode pour en être conscient. Par exemple: en regardant le registre, peut-on déterminer si l'antivirus est bloqué, déterminé si une entrée est louche ?
Avatar de Shuty Shuty - Membre éprouvé https://www.developpez.com
le 16/06/2014 à 11:16
Très judicieux de la part des hackers. J'en suis même admiratif.. Reste plus qu'à MS de créer un fix autrement on va bientot être envahi de virus.
Avatar de puke502 puke502 - Membre régulier https://www.developpez.com
le 16/06/2014 à 14:59
pas très discret quand même comme solution
a moins que le malware bloque aussi les pop up de restrictions
Offres d'emploi IT
Développeur javascript friand de node js H/F
Bluecoders - Ile de France - Paris (75001)
support@multiposting.fr
EASY PARTNER - Ile de France - Levallois-Perret (92300)
Ingénieur commercial (H/F)
Kacileo - Rhône Alpes - Grenoble (38000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil