nutzt die Windows-Systemfunktion Windows Software Restriction Policies (SRP), um die Rechte von Antiviren- und Sicherheitssoftware einzuschränken. Von diesem Umstand war ein Programm von Trend Micro selbst betroffen. SRP ist eine von Microsoft erstmals in Windows XP und Windows Server 2003 angebotene Funktion. Sie wird über Gruppenrichtlinien verwaltet. Administratoren können damit schwarze und weiße Listen ausführbarer Programme erstellen oder deren Ausführung auf Standardrechte beschränken. Änderungen schlagen sich letztlich in Registry-Einträgen nieder, die sich auch aber auch auf direktem Weg erstellen lassen. Dieses Verfahren wendet laut Trend Micro die Malware BKDR_VAWTRAK an. Versucht ein Anwender, eine solchermaßen gesperrte Anwendung auszuführen, erhält er nur einen Sperrhinweis und die Aufforderung, dass er sich an seinen Administrator wenden soll.
Um die Registry manipulieren zu können, muss die Schadsoftware selbst mit umfassenderen Rechten ausgestattet sein und die parallel laufende Sicherheitssoftware erst einmal umgehen. Ein Update der Sicherheitssoftware könnte natürlich zu einer Entdeckung führen, wenn diese denn nicht mehr blockiert sein sollte.
Zwar hat auch früher schon Malware SRP genutzt, Trend Micro stuft die Gefahr im Fall von BKDR_VAWTRAK aber als besonders groß ein. Es zählt 53 Sicherheitsprodukte auf, nach denen die Malware auf infizierten Systemen sucht, um ihre Ausführung zu verhindern.
Um die Registry manipulieren zu können, muss die Schadsoftware selbst mit umfassenderen Rechten ausgestattet sein und die parallel laufende Sicherheitssoftware erst einmal umgehen. Ein Update der Sicherheitssoftware könnte natürlich zu einer Entdeckung führen, wenn diese denn nicht mehr blockiert sein sollte.
Zwar hat auch früher schon Malware SRP genutzt, Trend Micro stuft die Gefahr im Fall von BKDR_VAWTRAK aber als besonders groß ein. Es zählt 53 Sicherheitsprodukte auf, nach denen die Malware auf infizierten Systemen sucht, um ihre Ausführung zu verhindern.
