Researchers from Trend Micro they discovered BKDR_VAWTRAK a bank malware. That particular malicious πρόγραμμα χρησιμοποιεί τις πολιτικές περιορισμών των Windows (Software Restriction Policies ή SRP) για να περιορίσει τα προνόμια των λογισμικών ασφάλειας, συμπεριλαμβανομένου και αυτού της Trend Micro.
SRP is a feature added to Windows XP and Windows Server 2003 operating systems and managed through Group Policy. It is designed to allow administrators to blacklist or whitelist specific executables programs, or restrict non-privileged users.
Βέβαια δεν είναι η πρώτη φορά που το SRP χρησιμοποιείται από malware.
SRP can also be used for Local Policy Editor in any version of Windows:
Δεδομένου τώρα ότι οι πολιτικές αυτές μεταφράζονται σε κλειδιά μητρώου (registry keys) στα συστήματα που χρησιμοποιούνται, είναι δυνατό να δημιουργηθούν κλειδιά μητρώου άμεσα, κάτι το οποίο, όπως αναφέρει η Trend Micro κάνει το κακόβουλο software. Στο παραπάνω παράδειγμα, φαίνονται τα κλειδιά μητρώου που δημιουργήθηκαν στο HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers.
When the user tries to run the executable file, it is blocked by Windows:
So malicious software takes control of the computer as it performs only the files it desires. Potentially, an updated security software could find malicious software, but malicious software has blocked it.
Ironically, Microsoft's article on TechNet states in the description of the SRP on the day of its release (in 2002) how it can be used to "fight viruses." Microsoft for ever!
I do not see the irony.