Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le malware BKDR_VAWTRAK utilise une fonctionnalité de sécurité de Windows pour bloquer les antivirus
Plus de 53 logiciels concernés

Le , par Arsene Newman

22PARTAGES

1  0 
Les malwares n’en finissent pas d’évoluer et de se complexifier. C’est du moins ce que révèle un rapport de l’entreprise de sécurité Trend Micro sur le malware BKDR_VAWTRAK.

Ce dernier qui affecte principalement les utilisateurs japonais est un backdoor caractérisé par ses capacités à récupérer et à voler des données sensibles notamment les informations bancaires des victimes.

Mais le principal danger émanant de ce malware réside dans sa capacité à neutraliser les différents logiciels de sécurité et les antivirus d’une manière simple et efficace : en recourant aux stratégies de restriction logicielle (Software Restriction Policies : SRP).

Le SRP est un mécanisme introduit par Microsoft à partir de Windows XP et de Windows Server 2003. Il est généralement administré et lancé via les stratégies de groupes (il peut aussi être lancé depuis l’éditeur de stratégies local disponible sur n’importe quelle version actuelle de Windows). Il permet à l’administrateur de blacklister l’exécution de certains programmes ou encore de restreindre leur utilisation à un niveau non privilégié, en créant une entrée dans le registre Windows.

Ainsi, naturellement, le malware qui s’exécute avec suffisamment de privilèges va créer une entrée semblable à celle du SRP, pour bloquer tous logiciels de sécurité résidant sur la machine de la victime, rendant par la même occasion ces logiciels entièrement inefficaces, même si leurs bases virales contiennent la signature du malware en question.

Au final, ce mécanisme qui a été introduit par Microsoft pour offrir plus de sécurité serait actuellement utilisé par le malware pour bloquer un large panel de plus de 53 antivirus, notamment :
  • Avast Software
  • Avira
  • BitDefender
  • Doctor Web
  • ESET
  • Kaspersky Lab
  • Malwarebytes’ Anti-Malware
  • McAffe
  • Norton AntiVirus
  • Symantec


Source : Trendmicro.com

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Tryph
Membre émérite https://www.developpez.com
Le 16/06/2014 à 10:17
Citation Envoyé par Arsene Newman Voir le message
[...]
Au final, ce mécanisme qui a été introduit par Microsoft pour offrir plus de sécurité serait actuellement utilisé par le malware pour bloquer un large panel de plus de 53 antivirus
[...]
Qu’en pensez-vous ?
c'est "amusant".
2  0 
Avatar de Uranne-jimmy
Membre expérimenté https://www.developpez.com
Le 16/06/2014 à 11:14
Ce qui serait intéressant, c'est d'avoir sinon une méthode pour éradiquer la menace, au moins une méthode pour en être conscient. Par exemple: en regardant le registre, peut-on déterminer si l'antivirus est bloqué, déterminé si une entrée est louche ?
1  0 
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 16/06/2014 à 11:16
Très judicieux de la part des hackers. J'en suis même admiratif.. Reste plus qu'à MS de créer un fix autrement on va bientot être envahi de virus.
1  0 
Avatar de puke502
Membre régulier https://www.developpez.com
Le 16/06/2014 à 14:59
pas très discret quand même comme solution
a moins que le malware bloque aussi les pop up de restrictions
0  0