Kontrola Konta Użytkownika w służbie… przestępców

Vonteera: jak jedna z kluczowych funkcji systemu zabezpieczeń Windows została wykorzystana przeciwko użytkownikom.

Twórcy szkodliwego oprogramowania z roku na rok stają się coraz bardziej kreatywni i bezczelni w swoich próbach zaszkodzenia użytkownikom. Najnowszym przykładem może być adware o nazwie Vonteera, którego autorzy (autor?) wpadli na pomysł, jak jedną z kluczowych funkcji systemu zabezpieczeń Windows wykorzystać przeciwko użytkownikom.

Program Vonteera do niedawna klasyfikowany był głównie jako oprogramowanie „niepożądane” – zbędne i nie wpływające korzystnie na funkcjonowanie systemu Windows, ale też nieszczególnie szkodliwe. To typowe oprogramowanie reklamowe, instalujące się jako rozszerzenie przeglądarki i wyświetlające reklamy, zmieniające domyślną wyszukiwarkę itp. Analizy najnowszej wersji wykazały jednak, że program zaczyna działać w coraz bardziej podejrzany sposób i może w realny sposób zagrażać użytkownikom.

Zobacz również:

Okazało się bowiem, że jego twórcy wpadli na kreatywny pomysł jak wykorzystać przeciwko użytkownikowi wbudowany do Windows system Kontroli Konta Użytkownika (UAC – User Access Control), czyli zabezpieczenie, sprawdzające, czy uruchamiane w systemie operacyjnym pliki wykonywalne są godne zaufania (na podstawie ich certyfikatów cyfrowych).

KKU uaktywnia się za każdym razem, gdy jakiś program próbuje wykonać operację wymagającą przywilejów administratora – dzięki temu może skutecznie chronić system przed przejęciem kontroli nad Windows przez program uruchomiony przez osobę pracującą na koncie o ograniczonym uprawnieniach.

„Niezaufane” antywirusy

W zależności od tego, jakim certyfikatem podpisany jest plik, KKU może generować różnego rodzaju ostrzeżenia i podejmować różne akcje. Jeśli plik ma podpis wystawiony przez zaufanego dostawcę, system wyświetli po prostu informacje o tym, że do podjęcia działania niezbędne są uprawnienia administratora. Jeśli zweryfikowanie wystawcy nie będzie możliwie, pojawi się żółty wykrzyknik – ostrzeżenie, że plik może być potencjalnie niebezpieczny. Jeśli zaś plik będzie podpisany certyfikatem, który znajduje się na czarnej liście, KKU automatycznie zablokuje jego uruchomienie i wyświetli czerwone ostrzeżenie.

I to właśnie tę ostatnią funkcję postanowili wykorzystać autorzy Vonteera – program ów, po zainstalowaniu w Windows, kopiuje 13 cyfrowych certyfikatów, którymi podpisywane są programy antywirusowe i inne aplikacje zabezpieczające… po czym dodaje je do listy niezaufanych certyfikatów. Wśród nich są m.in. podpisy wystawiane przez firmy Avast Software, AVG Technologies, Avira, Baidu, Bitdefender, ESET, ESS Distribution, Lavasoft, Malwarebytes, McAfee, Panda Security, Trend Micro oraz ThreatTrack Security.

Co więcej, program uruchamia również usługę, która cyklicznie sprawdza, czy żaden z nich nie został usunięty z czarnej listy – a jeśli tak, natychmiast go tam przywraca.

Nie do końca skuteczny

Na szczęście ten mechanizm nie jest skuteczny w 100 procentach – z analiz przeprowadzonych przez firmę Bitdefender, wynika, że działa on zgodnie z intencjami twórców tylko w sytuacji, gdy użytkownik próbuje zainstalować nowy program antywirusowy lub uruchomić dostarczone przez któregoś z powyższych producentów narzędzie do usuwania konkretnych złośliwych aplikacji. „Vonteera skutecznie blokuje tylko możliwość zainstalowania nowego oprogramowania – to, które zostało zainstalowane w systemie wcześniej, nie będzie w żaden sposób ograniczone zmiany wprowadzanymi do systemu przez ten adware. Z drugiej strony, jeśli w systemie działa jakiś antywirus, a Vonteera zdołał mimo to się zainstalować to oznacza to, że niezbędne może być dodatkowe narzędzie do jego usunięcie. A przy jego instalowaniu może pojawić się problem” – wyjaśnia Bogdan Botezatu, analityk z Bitdefender.

Usunięcie tego adware’u z systemu nie jest zadaniem łatwym – Vonteera tworzy w systemie szereg usług, planuje liczne akcje (które mają za zadanie sprawdzić czy program jest wciąż aktywny – a jeśli nie, przywrócić go), instaluje swoje rozszerzenia w Internet Explorerze i Chrome, a także modyfikuje skróty uruchamiające przeglądarki.

Aby skasować Vonteera z systemu niezbędne jest więc m.in. usunięcie wspomnianych certyfikatów z Windowsowej czarnej listy (za pomocą narzędzia Windows Certificate Manager – aczkolwiek trzeba działać szybko, bo program co jakiś czas je przywraca). Aby uruchomić WCM, należy nacisnąć kombinację klawiszy Windows + R, a następnie w otwartym oknie Uruchamianie wprowadzić komendę certmgr.msc. To wyświetli okno służące do zarządzania certyfikatami, gdzie w podmenu Certyfikaty niezaufane można przeglądać podpisy z czarnej listy.

Teoretycznie można również rozważyć wyłączenie na czas usuwania adware’u funkcji Kontrola Konta Użytkownika (aczkolwiek liczyć się trzeba z tym, że to zmniejsza poziom bezpieczeństwa systemu).

Dodajmy, że poza działaniami reklamowymi i modyfikowaniem systemu Vonteera nie wykazuje cech złośliwego oprogramowania - jednak z uwagi na to, że zmiany związane z funkcjonowaniem Kontroli Kont Użytkownika mogą w poważny sposób zagrażać użytkownikom (uniemożliwiając korzystanie z aplikacji zabezpieczających) wiele firm zmieniło klasyfikację tego oprogramowania z „niechciany” na „szkodliwy”. Jako przykład podać można oprogramowanie Malwarebytes, które aktualnie traktuje Vonteera jako trojana.


TOP 200