Троян Zeus маскируется за цифровой подписью "Лаборатории Касперского"
06.08.2010
Компания Trend Micro сообщила об обнаружении в Сети вредоносных файлов с цифровой подписью, практически полностью совпадающей с подписью антивирусной компании "Лаборатория Касперского".
После внимательного изучения подписи специалисты Trend Micro выявили явные расхождения между подделкой и оригиналом. Так, помимо того, что поддельная подпись включает неверное значение хеш-функции, она оказалась просроченной. Наиболее вероятно, что для создания фальшивки злоумышленники использовали подпись утилиты ZbotKiller от "Лаборатории Касперского", полагают в Trend Micro.
В ходе дальнейшего изучения обнаруженных файлов специалистам Trend Micro удалось идентифицировать эти вирусы. Ими оказались модификации печально известного трояна ZeuS (ZBOT) – TSPY_ZBOT.BWP, TROJ_ZBOT.BYM и TROJ_ZBOT.KJT.
Примечательно, что это не первый случай подделки злоумышленниками легальных цифровых подписей. Так, червь Stuxnet распространялся с подписью корпорации Realtek Semiconductors, а его более поздняя модификация – с подписью компании JMicron Technology.
Специалисты Trend Micro уже оповестили об инциденте "Лабораторию Касперского".
