lekker dan..
en waarom de sigs niet afgemaakt zijn?
wie klikt nu verder op het ding om te kijken waar het afkomstig is..

Hmm, het was mij ook al opgevallen dat de "dropper" ab.exe voorzien was van een digitale handtekening (en een self-signed root certificate), zie mijn comment onder http://isc.sans.org/diary.html?storyid=7747.

Vreemd alleen dat ik in de "properties | digital signature " dialogbox een andere (onverwachte) foutmelding kreeg dan Andrew Brandt. Ik kreeg op mijn fully patched XP SP3 systeem: "The digital signature of the object did not verify."

Andrew meldt (zie http://webrootblog.files.wordpress.com/2009/12/20091215_certispaz_badsig_cert.jpg): "This certificate cannot be verified upto a trusted certification authority." en dat is de foutmelding die ik eigenlijk ook verwachtte.

Ik vermoed dat Andrew iets nieuwers dan XP SP3 gebruikt, en er nog wat bugjes in XP zitten. Kennelijk is er een goede reden voor de malwaremakers om te rommelen met certificaten. Wellicht dat er ook virusscanners zijn die -schijnbaar correct- door "Microsoft" gesigneerde executables whitelisten om false positives zoveel mogelijk te voorkomen.

Ze zijn in zoverre niet afgemaakt dat sommige waarden erin ontbreken, maar die zijn niet kritisch. Wat de foutmelding oplevert (of zou moeten opleveren) is dat het certificaat met de digitale handtekening van het bestand niet door een trusted certificate authority is ondertekend (trusted root certificates zijn die dingen de in de certificate store onder Windows zijn opgeslagen).

In plaats daarvan wordt er in het bestand een self signed root certificate meegeleverd. En dat self signed root certificate in ab.exe is wat Microsoft's makecert.exe by default gebruikt: een CA certificaat uitgegeven door "Root Agency" (zie http://msdn.microsoft.com/en-us/library/ms733813.aspx) en met serienummer "06 37 6c 00 aa 00 64 8a 11 cf b8 d4 aa 5c 35 f4". Met zo'n niet erkend root certificate is het een koud kunstje een bestand digitaal te ondertekenen zogenaamd door Microsoft.

Wat zou kunnen is dat de malwaremakers hopen dat softwareontwikkelaars dat "Root Agency" certificaat in de certificate store van hun PC hebben opgenomen om het testen te vergemakkelijken. En misschien zijn er wel bedrijven waar zelf-ontwikkelde software wordt gebruikt en waar dat default "Root Agency" certificaat op alle PC's is geinstalleerd... (ik vermoed dat Windows eerst in de certificate store zoekt naar intermediate en root certificaten, en alleen als daar niets gevonden wordt, pas in het bestand zelf).

Ik. En niet alleen als ik iets download waarvan ik zo goed als zeker weet dat het malware is (alhoewel maar een paar virusscanners daar op 15 december van overtuigd waren, zie http://www.virustotal.com/analisis/d6afb2a2e7f2afe6ca150c1fade0ea87d9b18a8e77edd7784986df55a93db985-1260880398)...

Eerst dacht ik dat het om de "gestolen" Microsoft certificaten ging: http://www.microsoft.com/technet/security/bulletin/MS01-017.mspx

Volgende stap zal waarschijnlijk met Openssl zijn: http://blog.didierstevens.com/2008/12/30/howto-make-your-own-cert-with-openssl/

Maar het kan ook om een "vergissing" gaan: nl. dat de malware authors een Visual Studio project (met code signing) gekopieerd hebben en dan aangepast hebben, zonder dat ze authenticode in de gaten hadden.

bitwiper, true.
ook ik klik altijd verder.
maar de regulaire gebruiker kijkt niet verder als het kabeltje aan zijn muis kort is..

Ik ook. Het is zo dat ik gemerkt heb dat de Microsoft COFEE tool op Wikileaks geen authenticode signature heeft. Heel vreemd voor Microsoft.