Псевдо-антивирус скрывается за краденым сертификатом


MicrosoftСпециалистами Microsoft сегодня была обнаружена поддельная антивирусная программа, использующая около десяти краденных цифровых сертификатов. Этот факт указывает на недостаточную защищенность сети легальных разработчиков. Ведь злоумышленники, только проникнув в такую сеть, могут похитить легитимные подписанные сертификаты для подписи программ и введения операционных систем в заблуждение.

Обнаруженное поддельное приложение называется Antivirus Security Pro, а его ранние версии были обнаружены еще в 2009 году. С тех пор это приложение не раз меняло название и внешний вид для придания легитимности в глазах получателя. Однако, не зависимо от этого, внутри данного продукта содержатся разные модификации все того же вредоносного кода Win32/Winwebsec.

Используя краденые легальные сертификаты, зловред маскируется под "нормальное" ПО, каковым система его и признает. Свидетельством его "нормальности" служит подпись Certification Autohorities (CA).

Специалисты Microsoft выявили в сети сразу несколько различных версий Antivirus Security Pro с разными цифровыми сертификатами. При этом все они выписанными разными удостоверяющими центрами в разных странах, а в частности в:

  • Нидерландах;
  • России;
  • США;
  • Германии;
  • Канаде;
  • Великобритании,

со стороны компаний

  • VeriSign;
  • Comodo;
  • Thawte;
  • DigiCert.


Если вспомнить события, происходящие 3-6 лет назад, то тогда тактика дистрибуции псевдо-антивирусов при помощи краденых сертификатов была довольно распространенной, и лишь около года назад она пошла на спад.

Вторым вредоносным кодом, который обнаружили специалисты, стал вирус Win32/FakePav, который отвечает за кражу и дистрибуцию краденных цифровых сертификатов.


Обновлено (16.12.2013 16:37)