Malware: Microsoft signiert Rootkit

Eigentlich kontrolliert und zertifiziert Microsoft Treiber, um vor Schadsoftware zu schützen. Beim Netfilter-Rootkit ging dies gehörig schief.

Artikel veröffentlicht am ,
Eigentlich soll die Microsoft-Signatur ein Bollwerk gegen Schadsoftware sein ...
Eigentlich soll die Microsoft-Signatur ein Bollwerk gegen Schadsoftware sein ... (Bild: manseok/Pixabay)

Bei einem vermeintlichen Windows-Treiber mit dem Namen Netfilter handelt es sich in Wirklichkeit um Schadsoftware, die allerdings von Microsoft zertifiziert wurde. Der Windows-Hersteller hat den Vorfall mittlerweile bestätigt und zugegeben, die Schadsoftware zertifiziert zu haben.

"Seit Windows Vista muss jeder Code, der im Kernel-Modus läuft, vor der öffentlichen Freigabe getestet und signiert werden, um die Stabilität des Betriebssystems zu gewährleisten", schreibt Karsten Hahn, Malware-Analyst bei der Sicherheitsfirma GData. Treiber ohne ein Microsoft-Zertifikat könnten standardmäßig nicht ausgeführt werden.

Entsprechend sei er anfangs von einem False-Positive-Alarm ausgegangen, als er die signierte Schadsoftware Netfilter entdeckte. Doch schnell habe sich herausgestellt, dass es sich um ein Rootkit handle. Entsprechend habe man Microsoft und die Öffentlichkeit informiert. In einem Blogeintrag nennt er zudem weitere Details zu der Schadsoftware.

Microsoft gibt Zertifizierung der Schadsoftware zu

Auf seiner Webseite erklärt Microsoft, dass der Windows-Hersteller den Schadtreiber tatsächlich signiert hat. Demnach sei dieser zur Zertifizierung durch das Windows Hardware Compatibility Program (WHCP) eingereicht worden. Weitere Details, wie die Schadsoftware durch Microsofts Kontrollen gelangen konnte, nennt der Windows-Hersteller nicht. Das entsprechende Konto sei jedoch gesperrt worden und die Schadsoftware werde untersucht.

"Die Aktivitäten des Täters beschränken sich auf den Spielesektor speziell in China und scheinen nicht auf Unternehmensumgebungen abzuzielen", schreibt Microsoft. Das Ziel der Schadsoftware sei es, einen anderen Standort vorzutäuschen und so von überall aus spielen zu können.

Obendrein ermögliche die Schadsoftware, sich Vorteile in Spielen zu verschaffen und möglicherweise die Konten von anderen Spielern zu kompromittieren - beispielsweise mit Keyloggern, erklärt Microsoft. Entsprechend gehe man derzeit nicht davon aus, dass es sich um einen staatlichen Akteur handle, betont Microsoft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Microsoft warnt
Phishing mit Callcenter und gefälschtem Probeabo
artikel-bild
Emotet
Trickbot nimmt Bios ins Visier
artikel-bild
Crackonosh
Hacker verstecken Mining-Malware in illegalen Spielekopien
Meistgelesen
artikel-bild
Reddit
Stundenlanger Ausfall, weil niemand mehr den Code kennt
artikel-bild
Mysteriöses Start-up
Atomic Semi will Chips einfacher und günstiger herstellen
artikel-bild
KI im Programmierertest
Kann GPT-4 wirklich Code schreiben?
Kommentarübersicht
Re: Manchmal kommt man da eben durcheinander
Oekotex 29. Jun 2021

Also ich habe schon verstanden, was er sagen wollte. Ist aber auch manchmal nicht leicht...

Muss man Kernel driver wirklich bei MS prüfen lassen?
FleissigeBiene 28. Jun 2021

Also ich habe vor Jahren für Windows 7 mal Kernel Driver für selbst entwickelte Hardware...

Schadsoftware?
dbettac 28. Jun 2021

Das klingt erstmal nicht nach Schadsoftware. Ok, wenn tatsächlich noch Keylogger...

Re: Schlangenöl halt.
Potrimpo 28. Jun 2021

So ist es. Kochen leider alle nur mit Wasser

Aktuell auf der Startseite von Golem.de
KI im Programmierertest
Kann GPT-4 wirklich Code schreiben?

GPT-4 kann gut einfachen Code schreiben. Meine Tests mit schwierigeren Pfadfindungs- und Kollisionsalgorithmen hat es nicht bestanden. Und statt das einzugestehen, hat es lieber geraten.
Ein Erfahrungsbericht von Tyler Glaiel

KI im Programmierertest: Kann GPT-4 wirklich Code schreiben?
Artikel
  1. Nachfolger von CS GO: Counter-Strike 2 ist geleakt
    Nachfolger von CS GO
    Counter-Strike 2 ist geleakt

    Eigentlich steht CS 2 bisher nur ausgewählten Personen zur Verfügung. Eine davon hat die Spieldateien aber offenbar ins Internet hochgeladen.

  2. Roskosmos: Russlands Raumfahrtprogramm ist in großen Schwierigkeiten
    Roskosmos
    Russlands Raumfahrtprogramm ist in großen Schwierigkeiten

    Eine Reihe von Defekten an Sojus-Raumschiffen deutet darauf hin, dass Roskosmos in Schwierigkeiten steckt, weil die Raumfahrtbehörde internationale Partnerschaften und Finanzmittel verliert. Experten prognostizieren den Untergang der russischen zivilen Raumfahrt.
    Ein Bericht von Patrick Klapetz

  3. Code-Hoster: Github veröffentlicht privaten SSH-Schlüssel
    Code-Hoster
    Github veröffentlicht privaten SSH-Schlüssel

    Millionen von Entwicklern könnten bald MITM-Angriffen ausgesetzt sein, denn Github muss kurzfristig seinen SSH-Host-Key austauschen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Cyberport Jubiläums-Deals • MindStar: Gigabyte RTX 4080 OC 1.229€ • Nur noch heute: 38GB Allnet-Flat 12,99€/M. • NBB Black Weeks • Powercolor RX 7900 XTX 1.099€ • Crucial SSD 1TB/2TB (PS5) bis -50% • Amazon Smart TVs ab 189€ • Nintendo Switch + Spiel + Goodie 288€ • PS5 + RE4 569€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /