Дослідники з F-Secure помітили зловмисне програмне забезпечення з цифровим підписом, яке використовує вкрадений державний сертифікат, що належить Інституту сільськогосподарських досліджень і розвитку Малайзії.
Дослідники з F-Secure помітили a зловмисне програмне забезпечення з цифровим підписом за допомогою викраденого державного сертифікатащо належать до Малайзійський інститут сільськогосподарських досліджень і розвитку.
З публікації F-Secure:
Час від часу ми стикаємося зі зловмисним програмним забезпеченням, підписаним сертифікатом підпису коду. Це проблематично, оскільки непідписана програма Windows видасть попередження кінцевому користувачеві, якщо він завантажить її з Інтернету — підписані програми цього не зроблять. Також деякі системи безпеки можуть більше довіряти підписаному коду, ніж непідписаному.
У деяких із цих випадків злочинці створили сертифікат лише для того, щоб підписувати зловмисне програмне забезпечення. В інших випадках вони викрадають сертифікати підпису коду (і їхні парольні фрази), щоб вони могли підписувати код як хтось інший. Нещодавно ми знайшли зразок, підписаний краденим сертифікатом.
За словами постачальника, зловмисне програмне забезпечення поширюється шкідливі файли PDF, які видаляють їх після використання Adobe Reader 8. Цікаво, що F-Secure зазначає, що "Ця конкретна шкідлива програма більше не отримує особливих переваг від підпису, оскільки сертифікат mardi.gov.my закінчився наприкінці вересня."
Наразі зловмисне програмне забезпечення визначається як Троян-завантажувач: W32/Agent. DTIW.
Рекомендуємо прочитати:
- Google, Mozilla та Microsoft забороняють центр сертифікації DigiNotar у своїх браузерах
- Майбутнє шкідливого програмного забезпечення для мобільних пристроїв – із цифровим підписом Symbian?