Malware: Microsoft signiert Rootkit

Eigentlich kontrolliert und zertifiziert Microsoft Treiber, um vor Schadsoftware zu schützen. Beim Netfilter-Rootkit ging dies gehörig schief.

Artikel veröffentlicht am ,
Eigentlich soll die Microsoft-Signatur ein Bollwerk gegen Schadsoftware sein ...
Eigentlich soll die Microsoft-Signatur ein Bollwerk gegen Schadsoftware sein ... (Bild: manseok/Pixabay)

Bei einem vermeintlichen Windows-Treiber mit dem Namen Netfilter handelt es sich in Wirklichkeit um Schadsoftware, die allerdings von Microsoft zertifiziert wurde. Der Windows-Hersteller hat den Vorfall mittlerweile bestätigt und zugegeben, die Schadsoftware zertifiziert zu haben.

Stellenmarkt
  1. IT-Systemadminstrator (m/w/d)
    VIVAVIS AG, Bochum, Ettlingen, Koblenz (Home-Office möglich)
  2. Senior IT Solution Engineer Integration Platform (m/w/d)
    Schaeffler Technologies AG & Co. KG, Nürnberg
Detailsuche

"Seit Windows Vista muss jeder Code, der im Kernel-Modus läuft, vor der öffentlichen Freigabe getestet und signiert werden, um die Stabilität des Betriebssystems zu gewährleisten", schreibt Karsten Hahn, Malware-Analyst bei der Sicherheitsfirma GData. Treiber ohne ein Microsoft-Zertifikat könnten standardmäßig nicht ausgeführt werden.

Entsprechend sei er anfangs von einem False-Positive-Alarm ausgegangen, als er die signierte Schadsoftware Netfilter entdeckte. Doch schnell habe sich herausgestellt, dass es sich um ein Rootkit handle. Entsprechend habe man Microsoft und die Öffentlichkeit informiert. In einem Blogeintrag nennt er zudem weitere Details zu der Schadsoftware.

Microsoft gibt Zertifizierung der Schadsoftware zu

Auf seiner Webseite erklärt Microsoft, dass der Windows-Hersteller den Schadtreiber tatsächlich signiert hat. Demnach sei dieser zur Zertifizierung durch das Windows Hardware Compatibility Program (WHCP) eingereicht worden. Weitere Details, wie die Schadsoftware durch Microsofts Kontrollen gelangen konnte, nennt der Windows-Hersteller nicht. Das entsprechende Konto sei jedoch gesperrt worden und die Schadsoftware werde untersucht.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft Teams effizient nutzen
    25. Oktober 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

"Die Aktivitäten des Täters beschränken sich auf den Spielesektor speziell in China und scheinen nicht auf Unternehmensumgebungen abzuzielen", schreibt Microsoft. Das Ziel der Schadsoftware sei es, einen anderen Standort vorzutäuschen und so von überall aus spielen zu können.

Obendrein ermögliche die Schadsoftware, sich Vorteile in Spielen zu verschaffen und möglicherweise die Konten von anderen Spielern zu kompromittieren - beispielsweise mit Keyloggern, erklärt Microsoft. Entsprechend gehe man derzeit nicht davon aus, dass es sich um einen staatlichen Akteur handle, betont Microsoft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Oekotex 29. Jun 2021

Also ich habe schon verstanden, was er sagen wollte. Ist aber auch manchmal nicht leicht...

FleissigeBiene 28. Jun 2021

Also ich habe vor Jahren für Windows 7 mal Kernel Driver für selbst entwickelte Hardware...

dbettac 28. Jun 2021

Das klingt erstmal nicht nach Schadsoftware. Ok, wenn tatsächlich noch Keylogger...

Potrimpo 28. Jun 2021

So ist es. Kochen leider alle nur mit Wasser

Potrimpo 28. Jun 2021

So wie bei Apple - kann kein Zufall sein



Aktuell auf der Startseite von Golem.de
Cyrcle Phone 2.0
Rundes Smartphone soll 700 Euro kosten

Dass Mobiltelefone in den letzten 20 Jahren meist nicht rund gewesen sind, scheint einen guten Grund zu haben, wie das Cyrcle Phone 2.0 zeigt.

Cyrcle Phone 2.0: Rundes Smartphone soll 700 Euro kosten
Artikel
  1. A New Beginning: Jetzt wird Outcast wirklich fortgesetzt
    A New Beginning
    Jetzt wird Outcast wirklich fortgesetzt

    Rund 22 Jahre nach dem Start des ersten Teils gibt es die Ankündigung von Outcast 2 für Xbox Series X/S, Playstation 5 und Windows-PC.

  2. Bundesinnenministerium: Nur jede neunte Verwaltungsleistung ist digitalisiert
    Bundesinnenministerium
    Nur jede neunte Verwaltungsleistung ist digitalisiert

    Meldebescheinigungen oder Baugenehmigungen warten weiter auf die Digitalisierung.

  3. Smartphones: Huawei versucht nicht mehr, die besten Produkte zu machen
    Smartphones
    Huawei versucht nicht mehr, die besten Produkte zu machen

    Das Handelsembargo der USA gegen Huawei zeigt Wirkung, wenn auch anders als geplant.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • iPhone 13: jetzt alle Modelle vorbestellbar • Sony Pulse 3D PS5-Headset Midnight Black vorbestellbar 89,99€ • Breaking Deals mit Club-Rabatten (u. a. Samsung 65" QLED 1.189,15€) • WD Black SN750 1TB 96,99€ • Amazon Exklusives in 4K-UHD • GP Anniversary Sale: History & War [Werbung]
    •  /