Digital signierter Trojaner bedroht Windows

Experten der IT-Sicherheitsfirma F-Secure haben Schadcode entdeckt, der mit einem gestohlenen Zertifikat der malayischen Regierung, dem Institut für landwirtschaftliche Forschung, ausgestattet ist. Die Malware verbreitet sich über manipulierte PDF-Dateien und nutzt eine Schwachstelle in Adobe Reader 8 aus. Wird ein System mit dem Trojan-Downloader W32/Agent.DTIW aus der PDF-Datei infiziert, lädt er beliebige weitere Schadprogramme aus dem Internet nach. Wie Mikko Hypponen im F-Secure-Blog berichtet, sind einige dieser Komponenten ebenfalls digital signiert.

Durch die digitale Signatur bleibt beim Einschleusen des Schädlings die sonst übliche Warnmeldung aus. Das ist nicht nur bei Windows so, sondern auch bei einigen Virenscannern, die signierte Dateien nicht auf Schadcode untersuchen. F-Secure beobachtet diesen Trick der Virenautoren bereits seit über einem Jahr. Unlängst gab es schon einmal Probleme mit Zertifikaten, die in Malaysia ausgestellt worden sind. Die Firma F-Secure hat die malayische Regierung bereits über den Vorfall informiert.

Microsoft hat unlängst die Sicherheitsempfehlung 2641690 veröffentlicht. Darin heißt es, dass sämtliche Windows-Versionen den Zertifikaten aus der Zertifizierungsstelle DigiCert Sdn. Bhd aus Malaysia das Vertrauen entzogen haben. Von dort waren 22 Zertifikate aufgestellt worden, die nur schwache 512-Bit-Schlüssel verwenden. Zudem fehlten notwendige Zertifikatserweiterungen und Widerruf-Informationen.