Malware: Microsoft signiert Rootkit

Eigentlich kontrolliert und zertifiziert Microsoft Treiber, um vor Schadsoftware zu schützen. Beim Netfilter-Rootkit ging dies gehörig schief.

Artikel veröffentlicht am ,
Eigentlich soll die Microsoft-Signatur ein Bollwerk gegen Schadsoftware sein ...
Eigentlich soll die Microsoft-Signatur ein Bollwerk gegen Schadsoftware sein ... (Bild: manseok/Pixabay)

Bei einem vermeintlichen Windows-Treiber mit dem Namen Netfilter handelt es sich in Wirklichkeit um Schadsoftware, die allerdings von Microsoft zertifiziert wurde. Der Windows-Hersteller hat den Vorfall mittlerweile bestätigt und zugegeben, die Schadsoftware zertifiziert zu haben.

Stellenmarkt
  1. SAP Berater (m/w/d) Rechnungswesen und Logistik
    Duisburger Versorgungs- und Verkehrsgesellschaft mbH, Duisburg
  2. System Engineer (m/w/d) Softwareverteilung SCCM / Client Management
    DATAGROUP Köln GmbH, Köln oder remote
Detailsuche

"Seit Windows Vista muss jeder Code, der im Kernel-Modus läuft, vor der öffentlichen Freigabe getestet und signiert werden, um die Stabilität des Betriebssystems zu gewährleisten", schreibt Karsten Hahn, Malware-Analyst bei der Sicherheitsfirma GData. Treiber ohne ein Microsoft-Zertifikat könnten standardmäßig nicht ausgeführt werden.

Entsprechend sei er anfangs von einem False-Positive-Alarm ausgegangen, als er die signierte Schadsoftware Netfilter entdeckte. Doch schnell habe sich herausgestellt, dass es sich um ein Rootkit handle. Entsprechend habe man Microsoft und die Öffentlichkeit informiert. In einem Blogeintrag nennt er zudem weitere Details zu der Schadsoftware.

Microsoft gibt Zertifizierung der Schadsoftware zu

Auf seiner Webseite erklärt Microsoft, dass der Windows-Hersteller den Schadtreiber tatsächlich signiert hat. Demnach sei dieser zur Zertifizierung durch das Windows Hardware Compatibility Program (WHCP) eingereicht worden. Weitere Details, wie die Schadsoftware durch Microsofts Kontrollen gelangen konnte, nennt der Windows-Hersteller nicht. Das entsprechende Konto sei jedoch gesperrt worden und die Schadsoftware werde untersucht.

Golem Akademie
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    22.-24.08.2022, Virtuell
Weitere IT-Trainings

"Die Aktivitäten des Täters beschränken sich auf den Spielesektor speziell in China und scheinen nicht auf Unternehmensumgebungen abzuzielen", schreibt Microsoft. Das Ziel der Schadsoftware sei es, einen anderen Standort vorzutäuschen und so von überall aus spielen zu können.

Obendrein ermögliche die Schadsoftware, sich Vorteile in Spielen zu verschaffen und möglicherweise die Konten von anderen Spielern zu kompromittieren - beispielsweise mit Keyloggern, erklärt Microsoft. Entsprechend gehe man derzeit nicht davon aus, dass es sich um einen staatlichen Akteur handle, betont Microsoft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Oekotex 29. Jun 2021

Also ich habe schon verstanden, was er sagen wollte. Ist aber auch manchmal nicht leicht...

FleissigeBiene 28. Jun 2021

Also ich habe vor Jahren für Windows 7 mal Kernel Driver für selbst entwickelte Hardware...

dbettac 28. Jun 2021

Das klingt erstmal nicht nach Schadsoftware. Ok, wenn tatsächlich noch Keylogger...

Potrimpo 28. Jun 2021

So ist es. Kochen leider alle nur mit Wasser



Aktuell auf der Startseite von Golem.de
Fernsehen
Mit Satelliten-TV, Kodi und Ethernet zur Videosammlung

Satelliten-Fernsehen ist die beste Möglichkeit, sich eine private Film- und Seriendatenbank aufzubauen. Wir zeigen, welche Technik gebraucht und wie sie eingerichtet wird.
Eine Anleitung von Mathias Küfner

Fernsehen: Mit Satelliten-TV, Kodi und Ethernet zur Videosammlung
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. FTTH: Deutsche Telekom kündigt weitere Glasfaserstadt an
    FTTH
    Deutsche Telekom kündigt weitere Glasfaserstadt an

    Mit Nürnberg kündigt die Telekom eine weitere Glasfaserstadt an. Der Ausbau im Großraum der Stadt soll eine halbe Milliarde Euro kosten.

  3. Missbrauchs-Vorwürfe: SpaceX zahlte 250.000 US-Dollar Abfindung
    Missbrauchs-Vorwürfe
    SpaceX zahlte 250.000 US-Dollar Abfindung

    Elon Musk soll einer Flugbegleiterin Geld für Sex angeboten haben. SpaceX zahlte für eine Geheimhaltungsvereinbarung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /