image

Malware stopt virusscanner via Windows-beveiligingsfeature

vrijdag 13 juni 2014, 10:04 door Redactie, 8 reacties

Een beveiligingsfeature in Windows die gebruikers juist moet beschermen wordt door malware gebruikt om een groot aantal virusscanners en beveiligingspakketten uit te schakelen. Het gaat om de Vawtrak-malware die allerlei gegevens op computers steelt, onder andere om met internetbankieren te frauderen.

Vawtrek lijkt zich vooral op Japanse internetgebruikers te richten. Opmerkelijk aan de malware is dat het beveiligingssoftware op het systeem uitschakelt via de Software Restriction Policies van Windows. Deze beveiligingsmaatregel werd voor het eerst in Windows XP en Server 2003 geïntroduceerd en is te vergelijken met een soort van white- en blacklist. De maatregel heeft onder andere als doel om virussen te bestrijden, zo blijkt uit de documentatie van Microsoft.

Daarnaast kan het worden gebruikt om alleen digitaal ondertekende scripts uit te voeren en alleen toegestane software op de computer uit te voeren. Deze functies gebruikt Vawtrak echter om virusscanners en andere beveiligingspakketten uit te schakelen. Eenmaal actief op het systeem kijkt de malware in de applicatiemap van Windows om te controleren of er beveiligingssoftware op de computer is geïnstalleerd.

Is dit het geval, dan wijzigt Vawtrak het Windows Register, waardoor de software in kwestie met beperkte rechten draait. Dit zorgt er uiteindelijk voor dat de virusscanner niet kan starten. Volgens anti-virusbedrijf Trend Micro is het niet de eerste keer dat malware deze tactiek gebruikt, maar gezien het grote aantal slachtoffers van Vawtrak in Japan worden hier nu meer gebruikers door getroffen dan normaal.

Reacties (8)
13-06-2014, 10:54 door Britec09
Waneer leert Microsoft eens iets over veiligheid ???
13-06-2014, 11:07 door Anoniem
Door Britec09: Waneer leert Microsoft eens iets over veiligheid ???
Dit heeft niets met Microsoft te maken. Als malware op het systeem draait, en dus dit soort dingen kan doen, is das spiel forbei, om maar in voetbaltermen te blijven.
13-06-2014, 11:38 door Anoniem
Door Britec09: Waneer leert Microsoft eens iets over veiligheid ???

Microsoft weet heel veel over veiligheid, je kan hier heel veel voor instellen.
Probleem zit alleen vaak in de Default instellingen van Windows.
Vooral consumenten PC's hebben vaak standaard Local Admin en deze doelgroep installeert van alles en nog wat (vooral als het gratis is te vinden op internet met een crack.)

Wanneer ik kijk naar features die je kan inschakelen, vooral bij bedrijven die wel iets met security doen, zijn er genoeg mogelijkheden met Windows. (Ja ik weet dat sommige features niet in de standaard versies werken, maarja wat al zeg, bij bedrijven kunnen ze hier wel gebruik van maken.)

Bijvoorbeeld deze combinatie:
- Geen Local Admin
- UAC aan
- Applocker inschakelen op alleen standaard folders (Program Files/Windows) waar EXE/MSI/Scripts mogen starten.
- Installeer alleen legitieme software, en alleen software die je nodig hebt.
- Installatie en configuratie van EMET (Populair Software template voldoet al aardig.)
- Een virusscanner (altijd bijgewerkt)
- Microsoft Updates (altijd bijwerken)
- Actieve Firewall
- Eventueel Bitlocker voor Drive Encryptie.

Denk als je dit als basis gebruikt, al heel ver bent.
Dus ja Microsoft heeft veel oplossingen voor veiligheid, alleen helaas staat niet alles by default ingeschakeld.
Ook vaak met legacy te maken en gebruiksgemak...
13-06-2014, 12:29 door Anoniem
Wanneer malware reeds acties kan uitvoeren heeft de scanner reeds in mij ogemn gefaald dunkt.
Heeft verder niets met Windows software te maken.
13-06-2014, 13:27 door Anoniem
Ha lol je hebt een virusscanner nodig voor je virusscanner , lijkt de overheid wel alles dubbel doen en dan nog er een potje van maken !!!
13-06-2014, 14:01 door Anoniem
Door Anoniem: Wanneer malware reeds acties kan uitvoeren heeft de scanner reeds in mij ogemn gefaald dunkt.
Heeft verder niets met Windows software te maken.

... behalve dan dat MS uberhaupt code schrijft die toegankelijk is voor dit soort 'grapjes'
13-06-2014, 17:07 door Anoniem
Door Anoniem:
Door Anoniem: Wanneer malware reeds acties kan uitvoeren heeft de scanner reeds in mij ogemn gefaald dunkt.
Heeft verder niets met Windows software te maken.

... behalve dan dat MS uberhaupt code schrijft die toegankelijk is voor dit soort 'grapjes'

Kom nou... het is zo jaren 90 om almaar negatief over MS te zijn.

De crux is dat als malware eenmaal op een systeem staat, op wat voor manier dan ook, dan kan het alles wat de gebruiker zelf ook kan. Jaren geleden is ook al eens een hele familie malware aangetoond die juist de firewall en antivirus *aanzette*, kennelijk bedoeld om het systeem niet op te laten vallen en te beschermen tegen andere malware.

Malware op je systeem (ongeacht OS): game over. Dat is een basis regel van beveiliging.

En ja, er zijn allerlei manieren om malware op een systeem te krijgen. Dit artikel zegt er niks over, maar als je even had gekeken in het originele artikel had je dit gevonden (over de VAWTRAK malware):

"This backdoor arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites."

Dus... het is onder andere iets dat meekomt met andere software (zoals "gratis" youtube downloaders en zo): een zeer veel gebruikte distributie methode; de gebruiker infecteert zichzelf. Werkt perfect, op alle platformen.
16-06-2014, 22:19 door Anoniem
Na installatie wilde geen website meer opstarten. Gedeïnstalleerd!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.