Una recién encontrada muestra de Zeus está firmada con certificado falso de Avira
Los investigadores de seguridad advierten que una muestra de ZeuS que acaba de ser identificada está firmada con un certificado digital falso, supuestamente emitido para el proveedor alemán de antivirus Avira.
La firma de código ha sido posible desde la época de Windows NT, sin embargo, la adopción de la tecnología fue lenta hasta Windows Vista y Windows 7, donde las alertas de UAC (Control de acceso de usuario) son significativamente diferentes para los ejecutables firmados y los no firmados.
Hoy en día es una práctica común firmar los instaladores como un método para verificar que no han sido alterados, ya que cualquier modificación realizada al código rompe la firma original.
El malware firmado digitalmente es relativamente raro porque hay pocas opciones para los autores de malware hacerlo bien y generalmente no vale la pena.
Una forma es robar una clave privada digital de una empresa y usarla para firmar el código malicioso. Esta técnica fue utilizada por el gusano de sabotaje industrial de Stuxnet para instalar un componente de rootkit en versiones de 64 bits de Windows.
Ya que los rootkits funcionan como controladores y las versiones de 64 bits de Windows no cargan los controladores sin firmar, firmar el rootkit con un certificado válido era necesario.
Sin embargo, la nueva muestra de ZeuS no tiene una firma válida. “Al ver las propiedades de la firma digital, Microsoft Windows muestra una nota ‘una cadena de certificados procesados, pero termina en un certificado raíz que no es de confianza para el proveedor de confianza’”.
“No deben entender mal ese mensaje, significa que este certificado no es creado por Avira GmbH, y por lo tanto, no es un certificado robado”, señalan los investigadores de Avira.
El certificado utilizado para firmar la muestra se generó el 10 de febrero y pretende ser emitido por VeriSign. Sin embargo, el mensaje de error significa que no coincide con el certificado de raíz de VeriSign incluido en Windows, una clara señal de que es falso.
Esta no es la primera muestra de ZeuS que forja la firma digital de un proveedor de antivirus. En agosto fue informada una variante que era supuestamente firmada por Kaspersky
A título de información se recuerda que el STUXNET venía primero firmado digitalmente por Realtek, y posteriormente por JMicron Technology Corporation.
Moraleja, no fiarse ni de las firmas digitales …
saludos
ms, 9-3-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.