F-Secure entdeckt erste digital signierte Malware

f-secure

Malware, die sich als originale Software tarnt und somit Schadcode auf einen Zielrechner schleust ist bereits bekannt, und sollte von gängigen Anti-Viren Produkten erkannt und unschädlich gemacht werden. Die Spezialisten von F-Secure haben nun eine neue Art von Schadsoftware entdeckt, die sich mit einem gültigen Zertifikat signiert. Das Zertifikat wurde vor einiger Zeit vom Institut für landwirtschaftliche Forschung und Entwicklung in Malaysia gestohlen. Die Gültigkeit des Zertifikats lief im September aus.

Schadcode mit fremdem Zertifikat (Zum Vergrößern klicken)

Der Missbrauch von Zertifikaten von vertrauenswürdigen Seiten oder Regierungen ist bereits bekannt und wurde in unserem Blog in diesem Artikel berichtet. Das Kuriose an dieser Schadsoftware ist die Tatsache, dass ein digitales Zertifikat eingesetzt wurde. Eine signierte Schadsoftware gab es bis jetzt noch nicht. Mit Hilfe dieser Technik versuchen Hacker ihre Opfer auf manipulierte Webseiten zu lenken oder verleiten die Empfänger zur Ausführung von nicht vertrauenswürdigen Programmen. Die Parallelen zum Industriespionagewum Stuxnet und zum kürzlich aufgetauchten Trojaner Duqu bestehen durchaus.

Der von F-Secure als “Agent.DTIW” identifizierte Trojaner nutzt über manipulierte PDF-Dateien eine Schwachstelle im Adobe Reader 8 aus. Weiterhin lädt der Trojaner, nach der Infektion des PCs, schädlichen Code von einem Server namens worldnewsmagazines.org nach. Mikko Hypponen schreibt im F-Secure Blog, dass die nachgeladenen Komponenten ebenfalls signiert sind, allerdings mit einer Adresse namens esupplychain.com.tw. Das Zertifikat des Schadprogramms ist jedoch abgelaufen. Eine Verwechslung zu einer gültigen Software soll nicht mehr bestehen, jedoch ist wahrscheinlich, dass weitere Zertifikate entwendet wurden und somit weitere schädliche Programme im Umlauf sind.

Wie kann ich mich schützen?

Achten Sie darauf, dass Sie Komponenten wie Adobe Reader, Adobe FlashPlayer oder Java immer auf dem neusten Stand halten. Laden Sie Software nur aus vertrauenswürdigen Seiten herunterladen. Klicken Sie auf keine E-Mail Anhänge deren Absender Sie nicht kennen. Es kann aber auch vorkommen, dass Sie den Absender kennen, dieser Ihnen jedoch niemals genau diese E-Mail gesendet hat. Wenn Sie Zweifel an der E-Mail haben, so kontaktieren Sie den Absender und lassen Sie sich den Versand bestätigen.

Wenn Sie Anregungen oder Tipps haben besuchen Sie unser Forum. Werden Sie Teil unserer noch jungen Community.

 

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Post Navigation