Mã độc ngân hàng dùng Windows để khóa các ứng dụng anti-malware

[WhiteHat News #ID:3333]

Một trojan đang lây lan nhanh chóng tại Nhật Bản tận dụng chính Windows để chống lại phần mềm an ninh được cài trên các máy bị nhiễm. Theo Trend Micro, BKDR_VAWTRAK, mã độc đánh cắp thông tin tài khoản ngân hàng trực tuyến của một số ngân hàng tại Nhật Bản, sử dụng một tính năng trong Windows có tên Chính sách kiểm soát phần mềm (Software Restriction Policies - SRP) để vô hiệu hóa một loạt các chương trình an ninh trên hệ thống bị nhiễm malware này.

Tổng cộng có 53 phần mềm bị chặn, trong số đó có các phần mềm antivirus của của Microsoft, Symantec, và Intel.

SRP là chính sách cấp quyền cho quản trị kiểm soát những phần mềm chạy trên hệ thống. Nhờ đó, phần mềm được cho phép chạy hoặc hạn chế. Những ứng dụng này có thể được nhận ra bằng một số cách như: thông qua mã băm, chữ kí số, nguồn tải về hay đơn giản là đường dẫn trên hệ thống.

BKDR_VAWTRAK sử dụng cách cuối cùng, đường dẫn trên hệ thống để chặn truy cập vào các phần mềm an ninh.

Thật là mỉa mai. SRP được trông đợi là sẽ tăng cường an ninh hệ thống bằng cách ngăn cản việc sử dụng những phần mềm không mong muốn.Nhưng hóa ra, nó lại được dùng để làm suy giảm an ninh hệ thống bằng việc ngăn cản sử dụng những phần mềm hữu ích.

Trend Micro cho hay đây không phải là malware đầu tiên sử dụng kĩ thuật này. Tuy nhiên, điều đáng nói là nó đang lây lan khá nhanh tại Nhật Bản.

Nguồn: Arstechnica​