29 августа 2011  

Контроль учетных записей (UAC) был, вероятно, первой новой функцией Windows Vista, встречу с которой  не смогли избежать большинство пользователей, и которая благодаря этому получила значительное внимание сразу после релиза операционной системы, рассказывает блог Microsoft по безопасности.  Со временем, особенно с выпуском Windows 7, количество сценариев работы UAC, требующих реакции пользователя, было уменьшено. Многие считают запросы, поступающие от контроля учетных записей назойливыми, но абсолютно ясно -  больше всех функцию UAC ненавидят именно авторы вредоносного программного обеспечения.

Когда функция UAC был представлена, вердикт авторов вредоносного программного обеспечения был удивительно единодушным – обойти стороной.

Внедрение контроля учетных записей стало принципиальным изменением по сравнению с Windows XP, и на всех подпольных форумах о вредоносном программном обеспечении указанный подход считался универсальным. Просто вместо запуска вируса с правами администратора из расположений доступных с правами администратора теперь приходилось запускать его в пользовательском профиле с пользовательскими же правами. К сожалению, это совершенно не было проблемой для вирусописателей. Однако для вредоносного программного обеспечения действительно становилось очень трудным заполучить права администратора, что и было целью создания UAC, большинство вредоносного программного обеспечения пыталось обойти эту проблему стороной.

В то время как тактика обхода UAC остается популярной, Microsoft Malware Protection Center обнаружил целый класс  вредоносного программного обеспечения, которое стремится к тому чтобы отключить контроль учетных записей в принципе. Вирусное ПО делает это, чтобы препятствовать обнаружению пользователем запуска вредоносных модулей благодаря запросам UAC после каждой перезагрузки. Семейство вирусов Sality, руткиты Alureon, поддельные антивирусы вроде FakePAV, распространяющиеся через уязвимости автозапуска черви и банковское трояны Bancos - все они имеют модификации, выключающие UAC. Со временем это стало настолько распространенным приемом, что в антивирусном ПО Microsoft Security Essentials, Windows Intune, и Forefront Endpoint Protection было внедрено использование поведенческого мониторинга, чтобы обнаруживать программы, которые пытаются управлять настройками UAC, и Microsoft Malware Protection Center регулярно регистрирует совершенно новое вредоносное программное обеспечение, запрещающее UAC.

Ключевым моментом является то, что для успешного отключения UAC вирусной программе необходимо добраться до административных полномочий, что достигается либо эксплуатацией уязвимости системного сервиса, работающего в привилегированном режиме, для которого UAC уже не актуален, или применением социальной инженерии, заставляя пользователей верить в безвредность приложения и разрешать его запуск. К сожалению, многие пользователи Windows отключают UAC сами. В то время как авторы вирусов всеми силами стараются избежать срабатывания UAC, легитимный софт так же совершенствуется в направлении уменьшения количества сценариев работы, требующих повышения привилегий, таким образом количество запросов, поступающих от UAC сейчас достигло своего минимума, что позволяет легко отслеживать любую действительно подозрительную активность.

В ниже приведенном списке мы можем наблюдать 5 наиболее популярных угроз, поразивших компьютеры с отключеным контролем учетных записей пользователей. Например, червь Rorpian может эксплуатировать уязвимость в службе сервера разрешения доменных имен (DNS SS), что дает доступ к правам администратора и возможности отключить контроль учетных записей. А такие программы, например, как SideTab и OneScan, наоборот, используют технологии "социальной инженерии", чтобы добиться повышения привилегии и затем опять же отключить UAC.

Ссылки по теме Anti-Malware.ru