Trojaner

Schweizer Firma signiert Virus als vertrauenswürdig

Bisher konnte man fast sicher davon ausgehen, dass als sicher signierte Software für den unbedarften Nutzer auch wirklich sicher ist. Dies hat sich allerdings mit dem Virus namens Mediyes geändert. Dieser wurde von der schweizer Firma Conpavi AG als vertrauenswürdig signiert, obwohl er es nicht ist. Die schweizer Conpavi AG betrezt unter Anderem Software der Stadt Luzern betreut. Sie selbst sieht sich als beratend für E-Government-Projekte an.

Um eine Software zu signieren, benötigt man einen besonderen Schlüssel. Dieser wurde im Fall der Conpavi AG von einer VeriSign-Zertifizierungsstelle ausgestellt. Diese stufen die meisten Betriebssysteme als sicher ein und sie erlaubt es, Software bei bestimmten Betriebssystemen wie zum Beispiel Windows 7 ohne besondere Sicherheitsabfragen zu installieren. Auf diese Weise wurde auch der umstrittene Staatstrojaner auf die Computer seine Opfer eingeschleust. Bisher ist allerdings nicht bekannt, wie der sichere Schlüssel dazu missbraucht wurde.

Zugriff über einen längeren Zeitraum
Laut Kasperky Labs wurden allerdings über einen längeren Zeitraum hinweg Viren des Typs Mediyes von der Conpavi AG signiert. Zwischen Dezember letzten Jahres und dem 7. März 2012 tauchten immer wieder neue Versionen dieses Trojaners auf. Daraus lässt sich schließen, dass Kriminelle über einen längeren Zeitraum Zugang zu dem privaten Schlüssel hatten.

Trojaner verändert Bibliotheken des Internet Explorer

Ziel des Trojaners ist es, die Bibliotheken des Internet Explorers zu manipulieren. Erreicht wird dies, in dem sich der Trojaner zuerst in die Treiber des Systems schreibt, ehe es die eigentlichen Bibliotheken löscht und diese durch eigene ersetzt. Zudem verteilt sich der Trojaner noch auf der gesamten Festplatte, so dass er nicht so leicht zu löschen ist. Möchte man mit dem manipulierten Internet Explorer nun eine Suchanfrage starten, werden die eingegeben Daten unbemerkt an einen Server weitergeleitet. Mit diesen Daten versuchen die Kriminellen dann über das Partnerprogramm vonmitels Pay-Per-Click (PPC) Geld zu verdienen.

Wer sicher gehen möchte, dass sich der Trojaner auf seinem Rechner einnistet, sollte vor der Installation von Programmen deren digitale Signatur überprüfen und von der Installation von Software, die von von der Conpavi AG signiert wurden abstand nehmen.