Le malware BKDR_VAWTRAK utilise une fonctionnalité de sécurité de Windows pour bloquer les antivirus

Les malwares n’en finissent pas d’évoluer et de se complexifier. C’est du moins ce que révèle un rapport de l’entreprise de sécurité Trend Micro sur le malware BKDR_VAWTRAK.

Ce dernier qui affecte principalement les utilisateurs japonais est un backdoor caractérisé par ses capacités à récupérer et à voler des données sensibles notamment les informations bancaires des victimes.

Mais le principal danger émanant de ce malware réside dans sa capacité à neutraliser les différents logiciels de sécurité et les antivirus d’une manière simple et efficace : en recourant aux stratégies de restriction logicielle (Software Restriction Policies : SRP).

Le SRP est un mécanisme introduit par Microsoft à partir de Windows XP et de Windows Server 2003. Il est généralement administré et lancé via les stratégies de groupes (il peut aussi être lancé depuis l’éditeur de stratégies local disponible sur n’importe quelle version actuelle de Windows). Il permet à l’administrateur de blacklister l’exécution de certains programmes ou encore de restreindre leur utilisation à un niveau non privilégié, en créant une entrée dans le registre Windows.

Ainsi, naturellement, le malware qui s’exécute avec suffisamment de privilèges va créer une entrée semblable à celle du SRP, pour bloquer tous logiciels de sécurité résidant sur la machine de la victime, rendant par la même occasion ces logiciels entièrement inefficaces, même si leurs bases virales contiennent la signature du malware en question.

Au final, ce mécanisme qui a été introduit par Microsoft pour offrir plus de sécurité serait actuellement utilisé par le malware pour bloquer un large panel de plus de 53 antivirus, notamment :

• Avast Software
• Avira
• BitDefender
• Doctor Web
• ESET
• Kaspersky Lab
• Malwarebytes’ Anti-Malware
• McAffe
• Norton AntiVirus
• Symantec

Source : Trendmicro.com

Et vous ?

Qu’en pensez-vous ?