Microsoft warnt vor signierter Malware

Immer mehr Schädlinge tragen eine gültige digitale Signatur. Die Unterschriften werden dabei typischerweise mit gestohlenen Entwicklerzertifikaten erstellt. Microsoft warnt jetzt vor mehreren Schädlingsfamilien und ruft Entwickler dazu auf, besser auf ihre Zertifikate aufzupassen.

Das Problem ist, dass digital signierte Dateien als vertrauenswürdiger gelten als solche ohne Unterschrift. Das kann insbesondere bei der unscharfen Schädlingserkennung durch Heuristik oder Verhaltenserkennung, die sich Prinzip bedingt an Indizien orientieren muss, den Ausschlag geben, ein Programm trotz Anfangsverdacht durch zu winken. Auch viele andere Sicherheitsmechanismen beruhen auf dem Vorhandensein digitaler Signaturen. Selbst bei der manuellen Schädlingssuche ist es durchaus üblich, in einem ersten Schritt beispielsweise alle digital signierten Autostart-Einträge erst mal auszublenden, um sich einen Überblick zu verschaffen.

Stuxnet war einer der ersten prominenten Trojaner, deren Schadcode mit digitaler Signatur versehen war, um Treiber installieren zu können. Manche Scareware-Programme, die Antiviren-Software imitieren, wurden sogar mit gekauften Zertifikaten signiert. Doch das waren Einzelfälle. In den letzten Monaten beobachtet Microsoft ein vermehrtes Auftreten digital signierter Spionage-Programme und Scareware. Deren Unterschriften wurden zumeist mit Zertifikaten erstellt, die zuvor von Software-Entwicklern gestohlen wurden. Die Scareware "Antivirus Security Pro" etwa wurde laut Microsoft mit mindestens zwölf verschiedenen Unterschriften verteilt. Mit einem Zertifikat werden oft serienweise Trojaner signiert. Bei einem in den Niederlanden ausgestellten Entwicklerzertifikat registrierte Microsoft fast 5000 verschiedene Malware-Samples.

Deshalb ruft Microsoft Entwickler zu einem sorgfältigeren Umgang mit Zertifikaten auf. Insbesondere solle man im Fall eines Schädlingsbefalls, der den geheimen Schlüssel kompromittiert haben könnte, sofort die ausstellende Zertifizierungsstelle benachrichtigen. Diese kann dann durch einen Eintrag des Zertifikats in die eigenen Sperrlisten den Missbrauch zumindest einschränken. (ju)