В последнее время всё чаще возникают вести о появлении вредоносных программ с цифровыми подписями. Оказывается, такие факты абсолютно не редкость, и эксперты уже не удивляются, когда встречают подобный зловред. Сгласно данным статистики MCAFEE, с начала 2012 г. обнаружено более 200 тыс. уникальных бинарников с валидными цифровыми подписями.
Как сообщается, больше всего из них подписано украденными сертификатами, в то время как иные являются самоподписанными или подписаны "тестовым" сертификатом (test signed). К примеру, на скриншотах внизу показаны 2 сертификата. Оба эти сертификата являются валидными, однако 1 из них - "тестовый".
"Тестовая" подпись полезна для 64-битной версии Windows, так как представляет собою легальный способ обхода обязательной подписи для драйверов. Компания Майкрософт специально дает возможность запускать драйверы с "тестовыми" сертификатами для тех драйверов, которые ещё не прошли процедуру сертификации. Соответственно, авторы вредоносного ПО также успешно применяют этот способ. К примеру, руткиты Necurs, Advanced ПК Shield 2012 и Cridex применяют данный подход. Чтоб бороться с таким поведением, отдельные антивирусы сейчас блокируют изначально любые утилиты с "тестовыми" сертификатами, а уже администратор может руками разрешить некоторые из них.
Как сообщается, больше всего из них подписано украденными сертификатами, в то время как иные являются самоподписанными или подписаны "тестовым" сертификатом (test signed). К примеру, на скриншотах внизу показаны 2 сертификата. Оба эти сертификата являются валидными, однако 1 из них - "тестовый".
"Тестовая" подпись полезна для 64-битной версии Windows, так как представляет собою легальный способ обхода обязательной подписи для драйверов. Компания Майкрософт специально дает возможность запускать драйверы с "тестовыми" сертификатами для тех драйверов, которые ещё не прошли процедуру сертификации. Соответственно, авторы вредоносного ПО также успешно применяют этот способ. К примеру, руткиты Necurs, Advanced ПК Shield 2012 и Cridex применяют данный подход. Чтоб бороться с таким поведением, отдельные антивирусы сейчас блокируют изначально любые утилиты с "тестовыми" сертификатами, а уже администратор может руками разрешить некоторые из них.
что только не придумают!
ОтветитьУдалить