F-Secure findet Malware, die mit einem gültigen Zertifikat signiert ist

F-Secure hat Malware gefunden, die mit einem gestohlenen digitalen Zertifikat signiert ist. Das schon vor einiger Zeit entwendete Zertifikat stamme vom malaysischen lnstitut für Landwirtschaftliche Forschung und Entwicklung, berichtet der Hersteller von IT-Sicherheitssoftware. Der Schädling Trojan-Downloader:W32/Agent.DTIW verbreitet sich über manipulierte PDF-Dateien, die eine Schwachstelle in Adobe Reader 8 ausnutzen.

Ist ein System befallen, werden weitere Schadprogramme von einem Server namens worldnewsmagazines.org geladen, erklärt Mikko Hypponen im F-Secure-Blog. Einige dieser Komponenten seien ebenfalls signiert, jedoch von einer Seite namens www.esupplychain.com.tw. „Es ist nicht üblich, signierte Malware zu finden. Noch seltener ist es, dass sie mit einem offiziellen Schlüssel einer Regierung signiert ist.“

Die Virenautoren setzen auf digital signierte Schädlinge, um Warnmeldungen zu verhindern. Unter Windows dient Authenticode zum Unterschreiben und Prüfen von Software, es soll dessen Herkunft belegen können.
Im konkreten Fall würde Windows bei unsignierten Anwendungen dem Benutzer eine Warnung ausgeben – bei signierten jedoch nicht. Ebenso vertrauen manche Sicherheitssysteme signiertem Code mehr als unsigniertem – einige Virenscanner prüfen signierte Dateien nicht auf Schadcode. Bereits vor mehr als einem Jahr beobachtete F-Secure erstmals signierte Malware.

Probleme mit in Malaysia ausgestellten Zertifikaten gab es bereits vor Kurzem. Microsoft und Mozilla hatten Anfang November der malaysischen CA DigiCert Sdn. Bhd das Vertrauen entzogen. Von dieser waren 22 Zertifikate aufgetaucht, die nur einen schwachen 512-Bit-Schlüssel verwenden und denen notwendige Zertifikatserweiterungen und Widerrufinformationen fehlten. (dta)