新发现：恶意软件限制安全软件服务特权

趋势科技公司研究人员在研究BKDR_VAWTRAK银行恶意软件方面取得了新的进展。该银行恶意软件使用Windows软件限制策略(SRP)限制安全软件的特权，包括限制趋势科技提供的安全软件服务特权。

软件限制策略是一项被引入Windows XP和Windows Server 2003的功能，这项功能通常通过组策略（Group Policy）进行管理。SRP功能的目的是允许管理员将特定的可执行程序列入黑名单和白名单，或者限制无特权用户(标准用户)执行。

虽然这并不是SRP第一次被恶意软件利用，但趋势科技认为显著的VAWTRAK攻击致使它显得更为重要。

无论在哪一版本的Windows系统中，SRP都可被本地策略编辑器（Local Policy Editor）调用：



此外，由于本地策略在系统中转化为注册表键值进行管理，所以直接创建注册表键值也是可能的，这正是趋势科技记录中恶意软件的做法。在上图的示例中，放置该注册表键值的地址为：

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowssafercodeidentifiers。

当用户试图运行这个可执行文件时，Windows便会阻止用户这样操作：



恶意软件本身必须要在有享有权限的环境下被执行，这样才能创建这些注册表键值。很可能，安全软件更新也许能够发现这个恶意软件，但如果该恶意软件已经以这种方式将其封锁，安全软件将无法发现这个恶意软件的潜入。

具有讽刺意味的是，在2002年新年第一天，微软TechNet在一篇文章中介绍SRP时描述了它如何可以用来“对抗病毒”。SRP的其他用途分别是：

1、管理可下载的ActiveX控件

2、仅在数字签名脚本下运行

3、仅批准电脑系统中已安装软件的执行

4、锁定一台计算机