Компания Trend Micro сообщила об обнаружении в Сети вредоносных файлов с
цифровой подписью, практически полностью совпадающей с подписью антивирусной
компании "Лаборатория Касперского".
После внимательного изучения подписи специалисты Trend Micro выявили явные
расхождения между подделкой и оригиналом. Так, помимо того, что поддельная
подпись включает неверное значение хеш-функции, она оказалась просроченной.
Наиболее вероятно, что для создания фальшивки злоумышленники использовали
подпись утилиты ZbotKiller от "Лаборатории Касперского", полагают в Trend Micro.
В ходе дальнейшего изучения обнаруженных файлов специалистам Trend Micro
удалось идентифицировать эти вирусы. Ими оказались модификации печально
известного трояна ZeuS (ZBOT) – TSPY_ZBOT.BWP, TROJ_ZBOT.BYM и TROJ_ZBOT.KJT.
Примечательно, что это не первый случай подделки злоумышленниками легальных
цифровых подписей. Так, червь Stuxnet распространялся с подписью корпорации
Realtek Semiconductors, а его более поздняя модификация – с подписью компании
JMicron Technology.
Специалисты Trend Micro уже оповестили об инциденте "Лабораторию
Касперского".
