Softwarehersteller bestätigt den Vorfall, sperrt Firma, erklärt aber nicht, wie die eigenen Tests ausgetrickst wurden

Der Sicherheitsforscher Karsten Hahn von GData hat einen mit einem Rootkit versehenen Netfilter-Treiber entdeckt, den eines von anderer Schadsoftware unterscheidet: Er wurde offiziell von Microsoft signiert. Wer ihn installierte, war also im Glauben, vor Schadsoftware sicher zu sein, während in diesem Fall exakt das Gegenteil der Fall ist.

Das betreffende Rootkit nahm nach der Installation sofort Kontakt mit einem "Command and Control"-Server auf, über den dann das System von außen kontrolliert werden konnte. Zudem wurde ein Root-Zertifikat installiert, und es gibt auch einen Update-Mechanismus, um die Schadsoftware auf den neuesten Stand zu bringen. Darüber hätten also auch noch andere Schadroutinen nachgeladen werden können.

Bei Microsoft bestätigt man den Vorfall mittlerweile. Demnach sei der betreffende Treiber über das Windows Hardware Compatibility Program (WHCP) eingereicht worden. Wieso man das Rootkit nicht entdeckt hat, verrät der Softwarehersteller allerdings nicht. Allerdings versichert man, dass der verantwortliche Softwarehersteller mittlerweile gesperrt wurde.