Malware wehrt sich mit Windows-Systemfunktion gegen Sicherheitssoftware

Trend Micro hat auf eine raffinierte Masche von Malware-Autoren hingewiesen. Bemerkt wurde sie von dem Sicherheitsanbieter bei der in Japan kursierenden Banking-Malware BKDR_VAWTRAK. Diese nutzt die Windows-Systemfunktion Windows Software Restriction Policies (SRP), um die Rechte von Antiviren- und Sicherheitssoftware einzuschränken. Auch ein Programm von Trend Micro selbst ist davon betroffen.

SRP ist eine von Microsoft erstmals in Windows XP und Windows Server 2003 angebotene Funktion. Sie wird über Gruppenrichtlinien verwaltet. Administratoren können damit schwarze und weiße Listen ausführbarer Programme erstellen oder deren Ausführung auf Standardrechte beschränken. Änderungen schlagen sich letztlich in Registry-Einträgen nieder, die sich auch aber auch auf direktem Weg erstellen lassen. Dieses Verfahren wendet laut Trend Micro die Malware BKDR_VAWTRAK an.

Versucht ein Anwender, eine solchermaßen gesperrte Anwendung auszuführen, erhält er nur einen Sperrhinweis und die Aufforderung, dass er sich an seinen Administrator wenden soll.

Um die Registry manipulieren zu können, muss die Schadsoftware selbst mit umfassenderen Rechten ausgestattet sein und die parallel laufende Sicherheitssoftware erst einmal umgehen. Ein Update der Sicherheitssoftware könnte natürlich zu einer Entdeckung führen, wenn diese denn nicht mehr blockiert sein sollte.

Zwar hat auch früher schon Malware SRP genutzt, Trend Micro stuft die Gefahr im Fall von BKDR_VAWTRAK aber als besonders groß ein. Es zählt 53 Sicherheitsprodukte auf, nach denen die Malware auf infizierten Systemen sucht, um ihre Ausführung zu verhindern.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de