Kaspersky warnt vor digital signiertem Trojaner

Kaspersky Lab berichtet vor einem Trojaner, der auch in Deutschland in mehreren Versionen sein Unwesen treibt. Der auf den Namen Trojan-Dropper.Win32.Mediyes oder Trojan-Dropper.Win64.Mediyes getaufte Trojaner wurde mit einem gültigen Zertifikat der Schweizer Conpavi AG signiert. Das Unternehmen berät unter anderem bei E-Government-Projekten. Bei dem Schädling handelt es sich ein eigenständig ausführbares Trägerprogramm (Dropper), das erst eine Freisetzung der eigentlichen Schadsoftware (Payload) ermöglicht. Durch die gültige Signatur kann die Installation erfolgen, ohne die Aufmerksamkeit des Benutzers auf sich zu ziehen. Die Schadsoftware selbst ist nicht digital signiert.

Nach der Installation setzt sich der Schädling in Browsern fest und fängt Suchmaschinen-Anfragen ab. Dies Suchanfragen schickt er dann unerkannt noch einmal an Server des deutschen Anzeigennetzwerks Search123. Dabei werden Klicks auf Anzeigen generiert, die den Kriminellen ihre Einkünfte bescheren. Laut Kaspersky wurde die Signatur zwischen Dezember 2011 und dem 7. März 2012 ausgestellt. Das legt den Verdacht nahe, dass Angreifer auf den privaten Schlüssen von Conpavi Zugriff hatten. Ausgestellt wurde der Schlüssel von einer Zertifizierungsstelle, die zu VeriSign gehört. Diese stufen die meisten Betriebssysteme als vertrauenswürdig ein. Wie es den Betrügern gelang, in den Besitz des Schlüssels zu gelangen, ist noch nicht bekannt. VeriSign ist inzwischen informiert und zieht die Schlüssel zurück. Auch früher ausgegebene Zertifikate, die auf mit diesem privaten Schlüssel erstellt wurden, sollen zurückgezogen werden. (ph/com!)