Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Malware: Microsoft signiert Rootkit

Eigentlich kontrolliert und zertifiziert Microsoft Treiber, um vor Schadsoftware zu schützen. Beim Netfilter-Rootkit ging dies gehörig schief.
/ Moritz Tremmel
11 Kommentare News folgen (öffnet im neuen Fenster)
Eigentlich soll die Microsoft-Signatur ein Bollwerk gegen Schadsoftware sein ... (Bild: manseok/Pixabay)
Eigentlich soll die Microsoft-Signatur ein Bollwerk gegen Schadsoftware sein ... Bild: manseok/Pixabay

Bei einem vermeintlichen Windows-Treiber mit dem Namen Netfilter handelt es sich in Wirklichkeit um Schadsoftware, die allerdings von Microsoft zertifiziert wurde. Der Windows-Hersteller hat den Vorfall mittlerweile bestätigt und zugegeben, die Schadsoftware zertifiziert zu haben.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Systemadministrator*in Datensicherung (m/w/div) Deutsche Rentenversicherung Bund, Würzburg,Berlin (öffnet im neuen Fenster)
Trainee IT Software Support Analyst ERP (m/w/d) CSB-System SE, Geilenkirchen (öffnet im neuen Fenster)
Ausbildung zum Fachinformatiker für Anwendungsentwicklung 2026 (m/w/d) STACKIT, Neckarsulm (öffnet im neuen Fenster)
Systementwickler Dokumentenmanagement & Basiskomponenten (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)
Junior Commercial Strategy & Customer Value Manager (m/w/d) DNS:NET Internet Service GmbH, Berlin (öffnet im neuen Fenster)
Duales Studium Data Science und Künstliche Intelligenz 2026 (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
Duales Studium Informationstechnik 2026 (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
(Senior) IT-Systemadministrator Windows / 365 (m/w/d) dbh Logistics IT AG, Bremen (öffnet im neuen Fenster)

"Seit Windows Vista muss jeder Code, der im Kernel-Modus läuft, vor der öffentlichen Freigabe getestet und signiert werden, um die Stabilität des Betriebssystems zu gewährleisten" , schreibt Karsten Hahn, Malware-Analyst bei der Sicherheitsfirma GData. Treiber ohne ein Microsoft-Zertifikat könnten standardmäßig nicht ausgeführt werden.

Entsprechend sei er anfangs von einem False-Positive-Alarm ausgegangen, als er die signierte Schadsoftware Netfilter entdeckte. Doch schnell habe sich herausgestellt, dass es sich um ein Rootkit handle. Entsprechend habe man Microsoft und die Öffentlichkeit informiert. In einem Blogeintrag(öffnet im neuen Fenster) nennt er zudem weitere Details zu der Schadsoftware.

Microsoft gibt Zertifizierung der Schadsoftware zu

Auf seiner Webseite erklärt Microsoft(öffnet im neuen Fenster) , dass der Windows-Hersteller den Schadtreiber tatsächlich signiert hat. Demnach sei dieser zur Zertifizierung durch das Windows Hardware Compatibility Program (WHCP) eingereicht worden. Weitere Details, wie die Schadsoftware durch Microsofts Kontrollen gelangen konnte, nennt der Windows-Hersteller nicht. Das entsprechende Konto sei jedoch gesperrt worden und die Schadsoftware werde untersucht.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

"Die Aktivitäten des Täters beschränken sich auf den Spielesektor speziell in China und scheinen nicht auf Unternehmensumgebungen abzuzielen" , schreibt Microsoft. Das Ziel der Schadsoftware sei es, einen anderen Standort vorzutäuschen und so von überall aus spielen zu können.

Obendrein ermögliche die Schadsoftware, sich Vorteile in Spielen zu verschaffen und möglicherweise die Konten von anderen Spielern zu kompromittieren - beispielsweise mit Keyloggern, erklärt Microsoft. Entsprechend gehe man derzeit nicht davon aus, dass es sich um einen staatlichen Akteur handle, betont Microsoft.

Zur Startseite 11 Kommentare

Relevante Themen

SoftwareSecurityCybercrimeDatensicherheitVirusG-DataMalwareWindows