Een beveiligingsfeature in Windows die gebruikers juist moet beschermen wordt door malware gebruikt om een groot aantal virusscanners en beveiligingspakketten uit te schakelen. Het gaat om de Vawtrak-malware die allerlei gegevens op computers steelt, onder andere om met internetbankieren te frauderen.
Vawtrek lijkt zich vooral op Japanse internetgebruikers te richten. Opmerkelijk aan de malware is dat het beveiligingssoftware op het systeem uitschakelt via de Software Restriction Policies van Windows. Deze beveiligingsmaatregel werd voor het eerst in Windows XP en Server 2003 geïntroduceerd en is te vergelijken met een soort van white- en blacklist. De maatregel heeft onder andere als doel om virussen te bestrijden, zo blijkt uit de documentatie van Microsoft.
Daarnaast kan het worden gebruikt om alleen digitaal ondertekende scripts uit te voeren en alleen toegestane software op de computer uit te voeren. Deze functies gebruikt Vawtrak echter om virusscanners en andere beveiligingspakketten uit te schakelen. Eenmaal actief op het systeem kijkt de malware in de applicatiemap van Windows om te controleren of er beveiligingssoftware op de computer is geïnstalleerd.
Is dit het geval, dan wijzigt Vawtrak het Windows Register, waardoor de software in kwestie met beperkte rechten draait. Dit zorgt er uiteindelijk voor dat de virusscanner niet kan starten. Volgens anti-virusbedrijf Trend Micro is het niet de eerste keer dat malware deze tactiek gebruikt, maar gezien het grote aantal slachtoffers van Vawtrak in Japan worden hier nu meer gebruikers door getroffen dan normaal.
Deze posting is gelocked. Reageren is niet meer mogelijk.