В последнее время всё чаще появляются новости о появлении вредоносных программ с цифровыми подписями. Оказывается, подобные факты совершенно не редкость, и специалисты уже не удивляются, когда встречают такой зловред. По статистике McAfee, с начала 2012 года обнаружено более 200 тысяч уникальных бинарников с валидными цифровыми подписями.
Как сообщается, большинство из них подписано украденными сертификатами, в то время как другие являются самоподписанными или подписаны «тестовым» сертификатом (test signed). Например, на скриншотах внизу показаны два сертификата.
Оба эти сертификата являются валидными, но один из них — «тестовый».
«Тестовая» подпись полезна для 64-битной версии Windows, потому что представляет собой легальный метод обхода обязательной подписи для драйверов. Компания Microsoft специально позволяет запускать драйверы с «тестовыми» сертификатами для тех драйверов, которые ещё не прошли процедуру сертификации. Соответственно, авторы вредоносного ПО тоже успешно используют этот метод. Например, руткиты Necurs, Advanced PC Shield 2012 и Cridex используют данный подход. Чтобы бороться с подобным поведением, некоторые антивирусы теперь блокируют по умолчанию любые программы с «тестовыми» сертификатами, а уже администратор может вручную разрешить отдельные из них.
