木马也会自学组策略，拦截XP/W8.1杀毒软件

根据安全部分检查显示，近期在日本地区发现一款BKDR_VAWTRAK恶意木马程序。这款木马整合了后门和程序行为功能，专门从事窃取银行凭证。

除了会盗取用户银行信息外，这款恶意木马还会尝试对第三方杀毒软件降低权限，甚至会自学组策略中“软件限制策略”，屏蔽、拦截XP、W8.1平台的杀毒软件等产品。

“软件限制策略”本身是提供给企业管理员控制Windows系统运行的软件，支持手动给应用程序设置白名单和黑名单，可以通过加密哈希、下载源、数字签名和系统安装路径识别第三方的应用程序。而这款BKDR_VAWTRAK恶意木马使用第四种系统安装路径识别第三方杀毒软件，最终限制安全产品的正常运行和实时保护服务。

具体识别系统路径为：%Program Files% and %All Users Profile%\Application，该文件夹记录所有第三方杀毒软件产品信息。一旦该木马识别到当前系统上的杀毒软件目录，它将自动将以下规则写入注册表，将第三方杀毒软件限制在特殊权限以下。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths\{generated GUID for the AV software} ItemData = “{AV software path}” SaferFlags = “0”

如果该规则写入注册表后，Windows用户运行第三方杀毒软件产品后，直接返回一条错误提示信息，如下图所示：

目前，该恶意木马已支持拦截包括微软、赛门铁克、卡巴斯基、趋势科技等多家国内外知名杀毒软件，IT之家提醒Windows用户及时升级杀毒软件特征库，全盘查杀下本地系统盘、注册表等目录。