Вредоносное ПО с цифровой подписью встречается все чаще

Крупные компании, занимающиеся обеспечением безопасности в сети, среди которых Symantec, «Лаборатория Касперского», BitDefender и прочие, недавно обнаружили ряд вредоносных программ, которые используют украденные цифровые сертификаты для подписи своих компонентов.

Это позволяет вредоносному ПО избежать обнаружения и обойти защиту Windows. Червь Stuxnet, который в 2010 году нанес урон ядерной промышленности Ирана, использовал руткит компонет, подписанный цифровой подписью с помощью украденных у компаний Realtek Semiconductor и JMicron сертификатов. Тогда эксперты по безопасности предсказывали, что в будущем другие вирусописатели будут разрабатывать технику таким образом, чтобы обойти требования обязательного использования подписей для 64-битной версий Windows Vista и Windows 7.

Бэкдор, обнаруженный компанией Symantec в декабре, устанавливал драйвер руткита, подписанный цифровым сертификатом, который был украден у компании, название которой не раскрывается. Сертификат был аннулирован компанией VeriSign по просьбе владельца спустя девять дней, пишет securitylab.

«Нападающие будут оставаться незамеченными чуть дольше, в связи с тем, что операционные системы редко проверяют или не проверяют вообще список отозванных сертификатов», - сообщил в блоге главный инженер-программист компании Symantec.