Троян ZeuS прикрывается цифровой подписью «Лаборатории Касперского»

5/08/2010 11:48

Компания Trend Micro сообщила об обнаружении в Сети вредоносных файлов с цифровой подписью, практически полностью совпадающей с подписью антивирусной компании «Лаборатория Касперского». После внимательного изучения подписи специалисты Trend Micro выявили явные расхождения между подделкой и оригиналом. Так, помимо того, что поддельная подпись включает неверное значение хеш-функции, она оказалась просроченной. Наиболее вероятно, что для создания фальшивки злоумышленники использовали подпись утилиты ZbotKiller от «Лаборатории Касперского», полагают в Trend Micro. В ходе дальнейшего изучения обнаруженных файлов специалистам Trend Micro удалось идентифицировать зловредов. Ими оказались модификации печально известного трояна ZeuS (ZBOT) – TSPY_ZBOT.BWP, TROJ_ZBOT.BYM и TROJ_ZBOT.KJT. Примечательно, что это не первый случай подделки злоумышленниками легальных цифровых подписей. Так, червь Stuxnet распространялся с подписью корпорации Realtek Semiconductors, а его более поздняя модификация – с подписью компании JMicron Technology. Специалисты Trend Micro уже оповестили об инциденте «Лабораторию Касперского».
Источник