BKDR_VAWTRAK - Phần mềm độc hại tự bảo vệ

14:24 | 26/06/2014

Các chuyên gia của Trend Micro đã phát hiện thấy phần mềm độc hại BKDR_VAWTRAK lây nhiễm trên máy tính của người dùng Internet tại Nhật Bản. Lợi dụng tính năng của Windows, Trojan này đã đánh bại các phần mềm bảo mật trong hệ thống phòng thủ mạng của nạn nhân. Cũng giống như nhiều phần mềm độc hại ngân hàng khác, BKDR_VAWTRAK có khả năng ăn cắp dữ liệu từ các giao dịch trực tuyến tại một số ngân hàng Nhật Bản.

Phần mềm độc hại này lợi dụng tính năng Windows có tên là Software Restriction Policies (SRP) để ngăn chặn các chương trình bảo vệ mạng của nạn nhân, bao gồm cả phần mềm chống virus từ Trend Micro, ESET, AVG Symantec, Microsoft, Intel và các hãng bảo mật khác, với tổng số 53 ứng dụng khác nhau. Trên blog được xuất bản bởi Trend Micro vào ngày 11/6/2014 viết:

“Các tính năng đặc biệt được VAWTRAK sử dụng để vô hiệu hóa các phần mềm bảo mật được biết đến với tên là Software Restriction Policies. Tính năng này lần đầu tiên được giới thiệu trong Windows ® XP và Server 2003. “” Có một số phương pháp có thể được sử dụng để xác định các tập tin bị chặn chạy trên một hệ thống. Trong trường hợp của VAWTRAK,chúng sử dụng đường dẫn mà các ứng dụng được cài đặt để xác định xem chúng có được khóa hay không. Chúng tìm kiếm tại các thư mục chứa trong các sản phẩm bảo mật là:%Program Files% and %All Users Profile%\Application”.
Phần mềm độc hại BKDR_VAWTRAK tìm kiếm các thư mục liên quan đến quá trình chặn của Windows, khi có kết quả nó cho gán thêm các mục đăng ký sau đây để buộc các ứng dụng trong thư mục đó chạy với quyền hạn chế khác là:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths\{generated GUID for the AV software} ItemData = “{AV software path}” SaferFlags = “0”
Kết quả là, bất kỳ tập tin trong thư mục cho biết sẽ không chạy, màn hình xuất hiện thông báo lỗi sau:
 
Tính năng Software Restriction Policies của Windows nhằm cung cấp công cụ cho các quản trị mạng kiểm soát các phần mềm vận hành trong hệ thống, các quản trị mạng có thể dễ dàng quản lý bằng cách theo dõi một danh sách các ứng dụng. Các chuyên gia nói rằng: “Software Restriction Policies (SRP) là nhóm chính sách cơ bản xác định các chương trình phần mềm chạy trên máy tính trong một miền và làm nhiệm vụ kiểm soát khả năng vận hành của các chương trình này. Các chính sách hạn chế phần mềm là một phần của chiến lược quản lý an ninh mạng của Microsoft nhằm hỗ trợ doanh nghiệp quản lý hệ thống máy tính và tăng cường độ tin cậy và tính toàn vẹn của thông tin “
Điều trớ trêu đã xảy ra là tác giả của phần mềm độc hại đã lợi dụng thành công các tính năng bảo vệ của hệ điều hành để bảo vệ bản thân mã độc tránh các cuộc kiểm soát của hệ thông an ninh mạng. Các chuyên gia cũng cho biết, đây không phải là phần mềm độc hại đầu tiên sử dụng kỹ thuật tương tự chống lại phần mềm bảo vệ, lần này trojan độc hại  BKDR_VAWTRAK đã tấn công giao dịch trực tuyến của ngân hàng tại Nhật Bản.