Podczas sprawdzania certyfikatów zauważono, że wartości mieszające, odnoszące się do podejrzanych plików, są nieprawidłowe (oryginalnym plikom zawsze są przypisywane konkretne wartości mieszające). W tym przypadku było jasne, że podpis został skradziony, ponadto - podpis już wygasł. Co ciekawe, został on najprawdopodobniej skopiowany z narzędzia Kaspersky ZbotKiller, które służy do usuwania złośliwego oprogramowania.

Dalsze badania potwierdziły, że podejrzane pliki rzeczywiście są szkodliwe. Były to odmiany znanego trojana ZeuS (inaczej Zbot) – TSPY_ZBOT.BWP, TROJ_ZBOT.BYM oraz TROJ_ZBOT.KJT.

>> Czytaj także: Zeus nadal zagraża firmowym komputerom

To nie pierwszy przypadek kradzieży podpisów cyfrowych przez cyberprzestępców. Odkryty w ubiegłym miesiącu Stuxnet również posługiwał się skradzionym certyfikatem, tyle że przynależącym do firmy Realtek Semiconductors Corp. Odnotowano też późniejszy wariant tego szkodnika podpisany przez JMicron Technology.

Certyfikaty wielu firm mogą być kopiowane przez cyberprzestępców, a firma, której podpis skopiowano, nie mogła temu zapobiec. Niestety jest bardzo prawdopodobne, że będziemy obserwować więcej takich zdarzeń w przyszłości – twierdzą analitycy Trend Micro. Dlatego użytkownicy powinni pamiętać, aby zawsze sprawdzać szczegóły podpisów cyfrowych.

>> Czytaj także: Uwaga na pendrive'y! Nowy trojan atakuje Windows 7

Trend Micro poinformowało już Kaspersky Lab o wynikach swojej analizy. W chwili pisania tego tekstu na stronach Encyklopedii Wirusów VirusList.pl prowadzonej przez tę firmę nie było jeszcze żadnych informacji o nowym zagrożeniu.