Um malware bancário descoberto no Japão está usando o próprio Windows para se defender de programas de segurança. Identificada pela Trend Micro como BKDR_VAWTRAK, a ameaça utiliza uma função do sistema chamada de Software Restriction Policies (SRP) para impedir que antivírus de diferentes desenvolvedores sejam executados.

O recurso foi apresentado pela primeira vez no Windows XP e no Windows Server 2003, e, na teoria, serve para que administradores impeçam determinados programas (ou até um vírus) de funcionar. Ele pode identificar software que não devem rodar na máquina de quatro formas diferentes: pela hash deles (a “impressão digital”, de certa forma), pelo certificado de validade, pelo local em que eles estão instalados ou pela origem do download no Internet Explorer.

No caso, a técnica utilizada pelo malware para reverter a situação é a terceira. Ele é capaz de identificar mais de 50 software de segurança diferentes (soluções da Avast, da AVG, da ESET e da própria Trend, inclusive), e consegue procurar pelas pastas deles dentro do diretório “Arquivos de Programas”, onde normalmente ficam instalados. E quando encontra algo, o VAWTRAK adiciona uma nova linha no registro da máquina, fazendo com que o respectivo antivírus só consiga rodar com “privilégios restritos”.

A Trend Micro afirma que esta não é a primeira vez que um vírus consegue fazer isso. Mas o caso deste malware bancário, que consegue roubar credenciais de usuários de internet banking, ganhou atenção devido a sua “popularidade” no Japão – o país já é o segundo mais afetado por ameaças do tipo no mundo, atrás apenas dos Estados Unidos.

A prevenção sugerida pela empresa, aliás, é a típica: mantenha um antivírus instalado e atualizado no computador. Dessa forma, eles conseguem bloquear o VAWTRAK antes que ele comece a agir na máquina, limitando o funcionamento da proteção.