Le malware BKDR_VAWTRAK utilise une fonctionnalité de sécurité de Windows pour bloquer les antivirus
Plus de 53 logiciels concernés
Le 2014-06-16 01:37:45, par Arsene Newman, Expert éminent sénior
Les malwares n’en finissent pas d’évoluer et de se complexifier. C’est du moins ce que révèle un rapport de l’entreprise de sécurité Trend Micro sur le malware BKDR_VAWTRAK.
Ce dernier qui affecte principalement les utilisateurs japonais est un backdoor caractérisé par ses capacités à récupérer et à voler des données sensibles notamment les informations bancaires des victimes.
Mais le principal danger émanant de ce malware réside dans sa capacité à neutraliser les différents logiciels de sécurité et les antivirus d’une manière simple et efficace : en recourant aux stratégies de restriction logicielle (Software Restriction Policies : SRP).
Le SRP est un mécanisme introduit par Microsoft à partir de Windows XP et de Windows Server 2003. Il est généralement administré et lancé via les stratégies de groupes (il peut aussi être lancé depuis l’éditeur de stratégies local disponible sur n’importe quelle version actuelle de Windows). Il permet à l’administrateur de blacklister l’exécution de certains programmes ou encore de restreindre leur utilisation à un niveau non privilégié, en créant une entrée dans le registre Windows.
Ainsi, naturellement, le malware qui s’exécute avec suffisamment de privilèges va créer une entrée semblable à celle du SRP, pour bloquer tous logiciels de sécurité résidant sur la machine de la victime, rendant par la même occasion ces logiciels entièrement inefficaces, même si leurs bases virales contiennent la signature du malware en question.
Au final, ce mécanisme qui a été introduit par Microsoft pour offrir plus de sécurité serait actuellement utilisé par le malware pour bloquer un large panel de plus de 53 antivirus, notamment :
Source : Trendmicro.com
Et vous ?
Qu’en pensez-vous ?
Ce dernier qui affecte principalement les utilisateurs japonais est un backdoor caractérisé par ses capacités à récupérer et à voler des données sensibles notamment les informations bancaires des victimes.
Mais le principal danger émanant de ce malware réside dans sa capacité à neutraliser les différents logiciels de sécurité et les antivirus d’une manière simple et efficace : en recourant aux stratégies de restriction logicielle (Software Restriction Policies : SRP).
Le SRP est un mécanisme introduit par Microsoft à partir de Windows XP et de Windows Server 2003. Il est généralement administré et lancé via les stratégies de groupes (il peut aussi être lancé depuis l’éditeur de stratégies local disponible sur n’importe quelle version actuelle de Windows). Il permet à l’administrateur de blacklister l’exécution de certains programmes ou encore de restreindre leur utilisation à un niveau non privilégié, en créant une entrée dans le registre Windows.
Ainsi, naturellement, le malware qui s’exécute avec suffisamment de privilèges va créer une entrée semblable à celle du SRP, pour bloquer tous logiciels de sécurité résidant sur la machine de la victime, rendant par la même occasion ces logiciels entièrement inefficaces, même si leurs bases virales contiennent la signature du malware en question.
Au final, ce mécanisme qui a été introduit par Microsoft pour offrir plus de sécurité serait actuellement utilisé par le malware pour bloquer un large panel de plus de 53 antivirus, notamment :
- Avast Software
- Avira
- BitDefender
- Doctor Web
- ESET
- Kaspersky Lab
- Malwarebytes’ Anti-Malware
- McAffe
- Norton AntiVirus
- Symantec
Source : Trendmicro.com
Et vous ?
-
TryphMembre éméritele 16/06/2014 à 10:17
-
Uranne-jimmyMembre expérimentéCe qui serait intéressant, c'est d'avoir sinon une méthode pour éradiquer la menace, au moins une méthode pour en être conscient. Par exemple: en regardant le registre, peut-on déterminer si l'antivirus est bloqué, déterminé si une entrée est louche ?le 16/06/2014 à 11:14
-
ShutyMembre éprouvéTrès judicieux de la part des hackers. J'en suis même admiratif.. Reste plus qu'à MS de créer un fix autrement on va bientot être envahi de virus.le 16/06/2014 à 11:16
-
puke502Membre régulierpas très discret quand même comme solution
a moins que le malware bloque aussi les pop up de restrictionsle 16/06/2014 à 14:59