Wyjątkowo paskudny fałszywy antywirus

Wyjątkowo paskudny fałszywy antywirus

Wyjątkowo paskudny fałszywy antywirus
Źródło zdjęć: © chip.pl
20.11.2013 10:30, aktualizacja: 20.11.2013 11:35

Twórcy szkodliwego oprogramowania, którzy wydawanie fałszywych rozwiązań ochronnych rozpoczęli w 2008 roku, obecnie podnoszą je na nowy poziom przez manipulowanie zaufaniem użytkowników.

Fałszywy "Antivirus Security Pro" dostarczany jest z cyfrowo podpisanym instalatorem umożliwiającym obejście niektórych mechanizmów bezpieczeństwa systemu operacyjnego i programów antywirusowych. Dokładniej, plik instalatora udostępniony w internecie został podpisany przy wykorzystaniu certyfikatu cyfrowego wydanego 2. listopada ubiegłego roku dla Ease Entertainment Services, LLC. Podpis elektroniczny jest wciąż ważny (nie został unieważniony). Najprawdopodobniej został skradziony.

Obraz
© (fot. Bitdefender)

Chociaż certyfikat cyfrowy ma obowiązywać jeszcze przez rok (wygasłby naturalnie 22.11.2014), cyberprzestępcy nie starali się przedłużyć jego ważności za pomocą sygnatury czasowej, zapewne spodziewając się, że prywatny klucz wkrótce zostanie unieważniony. Skradzione certyfikaty nakręcają czarnorynkowy biznes, ale ze względu na wrażliwy charakter takiego naruszenia, zazwyczaj anulowane są bardzo szybko.

To nie jedyna rodzina fałszywych antywirusów wykorzystująca skradzione poświadczenia elektroniczne: nieco wcześniej program WinWebSec podszywał się pod certyfikat wydany dla Ingenieursbureau Matrix B.V. Podpis wkrótce został unieważniony, gdy nadużycie wyszło na jaw, ale setki cyfrowo podpisanych złośliwych programów znalazły się w sieci.

Dlaczego podpis cyfrowy jest tak ważny?

Podpisane cyfrowo aplikacje zapewniają (albo powinny zapewniać) integralność i wiarygodność powiązanego kodu. Cyfrowo podpisane pliki pochodzą od znanych, sprawdzonych producentów, którzy zostali uznani za godnych zaufania przez urzędy certyfikacji. Z tego powodu niektóre programy antywirusowe pomijają cyfrowo podpisane pliki, by poprawić wydajność skanowania.

Ponadto, nowoczesne systemy operacyjne inaczej traktują cyfrowo podpisane pliki przy próbach wykonania modyfikacji systemowych. Żądania niepodpisanych aplikacji, próbujących podnieść swoje uprawnienia, bardziej zwracają uwagę użytkowników.

Obraz
© Cyfrowo podpisana aplikacja (po lewej) i zwykły plik wykonywalny (po prawej) (fot. Bitdefender)
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (232)