WCM - Das österreichische Computer Magazin Forenübersicht
 

Zurück   WCM Forum > Rat & Tat > IT-Security
Seite neu laden Malware blockiert Sicherheitssoftware mit Windows-Systemfunktion
Registrieren Hilfe/Forumregeln Benutzerliste Kalender Heutige Beiträge

IT-Security Rat & Tat bei Fragen und Problemen zu Computer-, Netzwerk- und Daten-Sicherheit

Microsoft KARRIERECAMPUS

 
 
Themen-Optionen Ansicht
Zurück Vorheriger Beitrag   Nächster Beitrag Nächste
Alt 13.06.2014, 19:56   #1
Christoph
Mod, bin gerne da
 
Benutzerbild von Christoph
 
Registriert seit: 09.11.1999
Ort: W, NÖ
Alter: 74
Beiträge: 13.646


Standard Malware blockiert Sicherheitssoftware mit Windows-Systemfunktion
Zitat:
Forscher von Trend Micro weisen auf einen neuen Trick der in Japan kursierenden Banking-Malware BKDR_VAWTRAK hin. Sie nutzt die Windows Software Restriction Policies (SRP), also eine Systemfunktion, um die Rechte von Antiviren- und Sicherheitssoftware einzuschränken. Auch eine Lösung von Trend Micro selbst ist betroffen.

SRP war mit Windows XP und Windows Server 2003 eingeführt worden. Es wird über Gruppenrichtlinien verwaltet. Administratoren können damit schwarze und weiße Listen bestimmter ausführbarer Programme erstellen oder sie auf eine Ausführung nur mit Standardrechten beschränken.

SRP lässt sich in jeder Version über den Editor für lokale Richtlinien aufrufen. Änderungen schlagen sich letztlich in Registry-Einträgen nieder, die sich auch auf direktem Weg erstellen lassen. Dies ist das Verfahren, das die Malware laut Trend Micro wählt.

Versucht ein Anwender, eine solchermaßen gesperrte Anwendung auszuführen, erhält er nur einen Sperrhinweis. Er möge sich an seinen Administrator wenden, steht darunter.

Um die Registry manipulieren zu können, muss die Schadsoftware selbst mit erhöhten Privilegien ausgestattet sein und die parallel laufende Sicherheitssoftware erst einmal umgehen, bevor sie einen Blockadeversuch starten kann. Ein Update der Sicherheitssoftware könnte natürlich zu einer Entdeckung führen, wenn diese denn nicht mehr blockiert sein sollte.

Es ist nicht das erste Mal, dass Malware SRP nutzt. Trend Micro schätzt die Bedrohung im Fall von VAWTRAK aber als besonders groß ein. Es zählt 53 Sicherheitsprodukte auf, nach denen die Malware auf infizierten Systemen sucht, um ihre Ausführung zu verhindern.

Ironisch ist rückblickend, dass Microsoft SRP im Jahr 2002 auf Technet mit den Worten einführte, es könne “im Kampf gegen Viren” eingesetzt werden. Als Vorteile schilderte es auch die Möglichkeit, Downloads von ActiveX-Controls auf einzelne einzuschränken, nur signierte Skripte auszuführen, die Ausführung von Software auf genehmigte Programme zu beschränken und Maschinen komplett zu sperren.
Quelle: http://www.zdnet.de/88195735/malware...ystemfunktion/
____________________________________
Liebe Grüße
Christoph

Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen.
(Heinrich Heine)
Christoph ist offline   Mit Zitat antworten
 

« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Gehe zu


Alle Zeitangaben in WEZ +2. Es ist jetzt 21:48 Uhr.

Kontakt - WCM - Nach oben

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Forum SEO by Zoints
© 2009 FSL Verlag