Aplikacja spyware podpisana certyfikatem Thawte

Specjaliści z firmy Sunbelt odkryli kilka dni temu nowy interesujący typ oprogramowania spyware. Informację o nim umieścili na swoim blogu.

Podszywanie się pod program antywirusowy jest znaną od jakiegoś czasu metodą używaną przez oprogramowanie typu malware. Za to podpisanie aplikacji certyfikatem (jednej z najbardziej popularnych firm na rynku Verisign’s Thawte) jest już namiastką czegoś ciekawszego.

Każdy wie, że aby zyskać trzeba często zainwestować. Trzeba wyprzedzić konkurencję, pokazać coś nowego, lepszego i być zawsze o dwa kroki do przodu przed resztą.

Co ciekawe sama domena hostująca malware jest już aktualnie zawieszona, chociaż serwery DNS ns[12].power-antivirus-2009 com nadal odpowiadają poprawnym adresem IP, a strona serwuje zarażone pliki. Została założona 29 lipca, by po tygodniu zostać zawieszona. Widać, że jasna strona mocy działa coraz prężniej…

Fakt, że kupujący domenę ładnie opisał kraj, z którego być może pochodzi ;] (Rosja)
Zaciekawił mnie w tym wpisie wyraz Volovoso, który wyglądał jak miasto. Po wpisaniu w Google Maps nic takiego nie znalazłem. Po wpisaniu w wyszukiwarce Google, znalazłem 8 wyników, które wskazywały na inne domeny zarejestrowane na takie same dane:
– thespybotpromo com (luty 2008) – na stronie głównej pojawia się ostentacyjny kod braku strony (404)
– softtraf com (maj 2008) – jak wyżej
– spyshredderscanner com (wrzesień 2007) – podobnie jak power-antywirus-2009 strona serwująca fałszywą aplikację antyspyware [co ciekawe linki takie jak Privacy policy czy EULA zawierają dokładnie takie same treści w obu domenach)
– malwscan com (maj 2008) – strona podobna do opisanej powyżej.

We wszystkich przypadkach strony rejestrowane są w firmie ESTDOMAINS.

To swoją drogą ciekawie obrazuje podejście rejestratora. Wszyscy wiemy, że hostuje malware podpisując się do tego tymi samymi danymi (zapewne zupełnie z kosmosu z pomocą kradzionej karty kredytowej), a jednak “pecunia non olet” czyli pieniądze nie śmierdzą… Zapewne podobnie ma się rzecz z certyfikatami. Klient kupuje, płaci, jest szczęśliwy. Najwyżej jak wszyscy narobią krzyku, że określony certyfikat jest skażony to my go zablokujemy (certyfikat nie klienta), a klient i tak wróci po następny certyfikat :]

Bezpieczeństwo bezpieczeństwem, ale biznes to biznes…

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar [r4]
    [r4]

    Pierwsze zdanie artykułu brzmi:

    Specjaliści z firmy Sunbelt na swoim blogu, odkryli kilka dni temu nowy interesujący typ oprogramowania spyware.

    Teraz już wiem, skąd biorą się te wszystkie internetowe świństwa 🙂 Specjaliści od zabezpieczeń infekują nimi swoje weblogi! 😛

    1. Awatar jellonek
      jellonek

      poprawilem to "niefortunne" okreslenie 😉

  2. Awatar qcza
    qcza

    Petunia to kwiatek. Pecunia to pieniądze.

  3. Awatar qcza
    qcza

    I jeszcze "mechanizm udający fałszywy program". Czyli mechanizm jest programem prawdziwym?

    1. Awatar jellonek
      jellonek

      ok – i to i powyzsze poprawione…

      1. Awatar bothunterspl
        bothunterspl

        Dziękuję za cenne uwagi.

  4. Awatar Marcin "Ktos&qu
    Marcin "Ktos&qu

    Certyfikat certyfikatem, nie gwarantuje on, że aplikacja jest dla naszego komputera bezpieczna, a jedynie, że kod naprawdę pochodzi od firmy, która się podaje, że za nim stoi.

    Niestety, mylne podejście certyfikowany == bezpieczny to ładna droga do ataku na systemy z rodziny Windows, które tak uznają, nie pokazując groma ostrzegawczych komunikatów przy plikach podpisanych.

    http://michal.osmenda.com/2007/09/12/malware-z-cy…

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *