Специалисты Kaspersky Lab обнаружили пару дропперов с действительными цифровыми сертификатами. Это 32-битная и 64-битная версии программы, которым присвоены наименования Trojan-Dropper.Win32.Mediyes и Trojan-Dropper.Win64.Mediyes, соответственно.
За период с декабря 2011 года по 7 марта 2012 года данная программа около 5000 раз регистрировалась системами Kaspersky Security Network. Как сообщается, чаще всего это происходило на территории Западной Европы — в Германии, Швейцарии, Швеции, Франции и Италии.
Сертификат выдан швейцарской компанией Conpavi AG, которая ведёт бизнес со швейцарскими муниципалитетами, кантонами и другими государственными структурами. Verisign уже уведомили об инциденте и попросили аннулировать данный сертификат.
Дроппер — это разновидность вредоносного ПО, целью которого является проникнуть в систему, после чего скачать и установить на инфицированный компьютер другие вредоносные программы из комплекта, такие как трояны и RAT. Данная разновидность внедряет DLL в браузер для перехвата и перенаправления поисковых запросов с целью заработка на рекламе с оплатой за клики от поисковой системы Search123.
Это уже не первый случай, когда вредоносным программам удаётся получить действительный сертификат. Похожий случай произошёл в ноябре прошлого года, когда была обнаружена программа с действительным сертификатом малайзийского центра сертификации. История с компрометацией удостоверяющих центров Comodo и DigiNotar тоже наводит на мысль о реформе нынешней системы сертификации.
