Telefoniert nach China

Verseuchter Treiber überlistete Microsoft-Prüfung

Nicht nur in Smartphone-App-Stores schlüpfen bisweilen mit Malware verseuchte Programme an der Qualitäts- und Sicherheitskontrolle vorbei, sondern auch im PC-Betriebssystem Microsoft Windows: Wie das IT-Security-Unternehmen G Data entdeckt hat, ist es Unbekannten gelungen, einen mit chinesischer Malware verseuchten Hardware-Treiber an Microsofts Kontrollmechanismen vorbeizuschleusen.

Microsoft versah den verseuchten Code sogar mit einem offiziellen Zertifikat, das eigentlich dafür gedacht ist, Treiber als unbedenklich und frei von Malware zu kennzeichnen. Wie „WinFuture“ berichtet, wurde der verseuchte Treiber bereits an Windows-Nutzer verteilt, bevor G Data den darin enthaltenen Schadcode entdeckte.

Server in China kontaktiert
Laut Karsten Hahn, Virenjäger bei G Data, trägt der verseuchte Hardware-Treiber den Namen Netfilter. Aufgefallen ist der Treiber, nachdem bei der Überprüfung festgestellt wurde, dass er offenbar gar keine Funktion hat. Bei näherer Begutachtung wurde festgestellt, dass sich der Treiber mit einem Kommandoserver in China verbindet. Microsoft wurde über den Fund informiert und hat Nachforschungen eingeleitet.

Treiber ohne Microsoft-Zertifikat können standardmäßig nicht installiert werden.

Karsten Hahn, Virenjäger bei G Data

Dass der verseuchte Treiber durch den Prüfprozess schlüpfen konnte, zeigt einmal mehr, dass eine Sicherheitsprüfung beim Betriebssystem-Hersteller keine hundertprozentige Sicherheit vor Malware bietet. Hahn: „Seit Windows Vista muss jeder Code, der im Kernel-Modus läuft, vor der öffentlichen Freigabe getestet und signiert werden, um die Stabilität des Betriebssystems zu gewährleisten. Treiber ohne Microsoft-Zertifikat können standardmäßig nicht installiert werden.“