Malware mit gestohlenen Zertifikat

Wie F-Secure auf seinem Sicherheitsblog mitgeteilt hat, bedroht aktuell eine Malware mit einem gestohlenen Zertifikat Computer. Das Zertifikat stamme von mardi.gov.my einer Regierungsbehörde von Malaysia: Malaysian Agricultural Research and Development Institute.

Das Problem sei dabei, dass Windows zertifizierte Programme oder Dokumente nicht beanstanden würde, also nicht beim Benutzer nachfragen würde, was in der Regel dazu führt, das Benutzer diesen mehr zu vertrauen. Mitunter gäbe es deswegen gefälschte Zertifikate, um dies auszunutzen, in diesem Falle würde es sich aber tatsächlich um ein echtes Zertifikat handeln, welches auch schon vor „einiger“ Zeit gestohlen worden wäre.

Die Malware selber verbreite sich als PDF Dokument, wobei eine Schwachstelle im Adobe Reader 8 ausgenützt werden würde.

Bei der Malware handelt es sich um den Trojan-Downloader:W32/Agent.DTIW, der, wenn einmal auf dem betroffenen System angekommen, weitere Schadsoftware nachladen würde, teils auch wieder signiert.

Das Zertifikat ist allerdings mittlerweile ausgelaufen, ist also nicht mehr gültig. Das Besondere an dem betreffenden Fall sei insbesondere, dass es sich um ein Zertifikat einer offiziellen Regierungsstelle handelt, was sehr selten ist – im Falle einer Schadsoftware.

Wichtigste Erkenntnis daraus ist, dass ma folgendes zur Sicherheit gegen bösartige Schadsoftware beachten sollte:

1. auch bei angeblicher zertifizierter Software vorsichtig ist
2. Man seinen Virenscanner aktuell hält
3. man auch sein Windows System, sowie Browser oder den Adobe Reader möglichst aktuell hält

Trotz allem, bei genug krimineller Energie, es aber immer Risiken gibt, denen man sich im Internet ausgesetzt sieht, vor allem, aber nicht nur, wenn man Dateien herunterlädt. Auch kann daraus lernen, dass man auch Zertifikate hinterfragen muss und dass diese keine Garantie darstellen.