Beveiligingsfunctie keert zich tegen Windows
Een functie kan nog zo goed bedoeld zijn, dat wil niet zeggen dat de resultaten altijd zoals verwacht uitpakken. Trend Micro, een Japanse beveiligingsfirma, ontdekte malware die een in Windows ingebouwde beveiligingsfunctie overneemt en tegen geïnstalleerde antivirussoftware keert.
Vawtrak, een zogenaamd Trojaans paard, is er op uit om je gegevens, zoals aanmeldgegevens voor bankwebsites, van op je pc weg te snoepen. Om te belemmeren dat antiviussoftware daar een stokje voor steekt neemt Vawtrak de privileges van zulke software weg, zodat die niet meer kan uitgevoerd worden op het systeem.
[related_article id=”161920″]
De malware gebruikt daartoe de zogenaamde Software Restriction Policies, of SRP.
SRP geeft administrators van systemen de mogelijkheid het gebruik van software te beperken. Door het invoeren van policies kunnen dagelijkse gebruikers verboden programma’s niet uitvoeren. Indien ze toch proberen, wordt de actie geblokkeerd en krijgen ze een foutmelding.
Policies zitten ingebakken in Windows sinds XP. Je voegt ze toe via een dialoogvenster, maar het is ook mogelijk om de juiste sleutel rechtstreeks in het register in te schrijven, en dat is precies wat Vawtrak doet. Zodra de sleutels op hun plaats staan wordt antivirussoftware, waaronder die van Trend, geblokkeerd. Ironisch, aangezien SRP net bedoeld was om de verspreiding van virussen en malware te beperken.
Volgens Trend Micro plaatst Vawtrak 53 programma’s van verschillende ontwikkelaars op de zwarte lijst. Om de registerhack te kunnen uitvoeren moet de malware wel eerst lopende antivirusprogramma’s verschalken en zelf de nodige privileges hebben. Een update van de geblokkeerde programma’s zal hen in de toekomst waarschijnlijk resistent maken tegen Vawtrak, maar niet wanneer ze al op de lijst met verboden programma’s terechtkwamen.