Eine Malware mit gültigem digitalen Zertifikat wurde von der Anti-Virus-Firma F-Secure gefunden. Das Zertifikat gehörte dem „Malaysian Agricultural Research and Development Institute“.

Ist eine Software mit einem digitalen Zertifikat unterzeichnet, kann erstens der Hersteller zweifelsfrei bestimmt werden und zweitens die Software auf dem System ohne Nachfragen vom Betriebssystem – hier Windows – installiert werden. D. h. der Benutzer sieht keine Warnmeldung, dass Schadsoftware auf dem System installiert wird. Es wird ja eine Software installiert, die von einer bekannten, „vertrauenswürdigen“ Quelle signiert wurde.
Die Methode mit den Zertifikaten wurde von vielen als eine Lösung des Malwareproblems gesehen. Jedoch nutzen die Malwareautoren wiederum die schlechte IT-Sicherheit der Computersysteme aus. Nur sind es dieses Mal nicht nur die Opfersysteme, sondern auch gleich die Computer der Softwareentwickler dazu. Mit mehr als 600 Basiszertifikaten, denen bei Windows vorab vertraut wird, reicht es, wenn eine Quelle kompromittiert wird, um das Zertifikatsystem auszuhebeln.

In diesem Fall ging es um eine Software, die in einem PDF eingebettet war. Eine Sicherheitslücke im Adobe Reader 8 wurde ausgenutzt, um die Schadsoftware zu installieren. Die Software lädt weitere Programme vom Server worldnewsmagazines.org, um diese auf dem befallenen System zu installieren.

In den letzten Jahren stieg die Zahl der Malware, die mit gestohlenen Zertifikaten gezeichnet wurde. Stuxnet, das das iranische Atomprogramm sabotierte, nutzte gestohlene Zertifikate, ebenso wie das Rootkit Duqu.

Erst im Juli diesen Jahres wurde in eine Zertifizierungsstelle DigiNotar online eingebrochen. Ein gefälschtes Gmail-Zertifikat wurde benutzt, um 300.000 Benutzer im Iran auszuspionieren.

Artikel von theregister.co.uk, 14.11.2011: Certificate stolen from Malaysian gov used to sign malware