Hace poco ha saltado a la palestra un incidente con un certificado digital propiedad de Adobe, que ha sido empleado para firmar ejecutables ajenos a su legítimo poseedor.
Windows emplea un sistema de firma digital integrado en sus ejecutables llamado ‘Authenticode’, este sistema permite crear una red de publicadores de confianza y que exista una trazabilidad en los ejecutables que viven en un sistema Windows. A cambio, Microsoft trata con más gentileza esos ejecutables debidamente firmados frente a otros que no lo están. En ciertos componentes es requisito indispensable el uso de authenticode para poder hacer uso de ellos.
Se he creado una herramienta que permite escanear un sistema de ficheros e ir identificando los autores de esos ejecutables en base a su certificado digital authenticode.
El resultado: SigSpotter
Vamos a ver un ejemplo de uso:
Voy a escanear C:\ (donde tengo la partición de sistema) para averiguar de cuantos autores tengo ejecutables firmados:

> Sigspotter.exe c:\
SigSpotter 1.0
Security By Default http://www.securitybydefault.com
Publishers found:
Adobe Systems, Incorporated Adobe Systems Incorporated. Adobe Systems Incorporated Lextek International Apple Inc. Microsoft Windows Component Publisher Oracle America, Inc. Microsoft Corporation Microsoft Corporation VMware, Inc. ThinPrint AG Cortado AG ThinPrint GmbH Dropbox Hewlett-Packard Company Hewlett Packard Visan Industries Kernow Software Microsoft Corporation MSN CACE Technologies, Inc. Coupons, Inc. Microsoft Windows Component Publisher GEAR Software Inc. Intel Corporation Microsoft Windows Macromedia, Inc.

Como se puede ver tras la ejecución de SigSpotter, aparecen un buen número de publicadores (lo siento, no he encontrado mejor traducción a ‘publishers’) que han firmado ejecutables que yo tengo en mi sistema.
De esa lista conozco a casi todos, pero hay algunos que ni me suenan, por ejemplo ‘Cortado AG’.
SigSpotter, además de entregar una lista sumarizada de todos los publicadores, genera un fichero de log llamado sigspotter.log donde queda guardado el resultado del escaneo en formato ‘raw’, es decir todos los ejecutables comprobados y su publicador.
Eso me permite localizar rápidamente todos los ejecutables de ‘Cortado AG’ de la siguiente forma:

> type sigspotter.log | find /I “cortado”
File: c:\Archivos de programa\Archivos comunes\VMware\Drivers\Virtual Printer\TPOG3\i386\TPWinprn.dll –> Publisher: Cortado AG File: c:\Archivos de programa\VMware\VMware Tools\TPAutoConnect.exe –> Publisher: Cortado AG File: c:\Archivos de programa\VMware\VMware Tools\TPAutoConnSvc.exe –> Publisher: Cortado AG File: c:\Archivos de programa\VMware\VMware Tools\TPVCGateway.exe –> Publisher: Cortado AG File: c:\Archivos de programa\VMware\VMware Tools\TPVCGatewaydeu.dll –> Publisher: Cortado AG File: c:\WINDOWS\system32\tprdpw32.dll –> Publisher: Cortado AG File: c:\WINDOWS\system32\TPSvc.dll –> Publisher: Cortado AG File: c:\WINDOWS\system32\TPVMW32.dll –> Publisher: Cortado AG File: c:\WINDOWS\system32\spool\prtprocs\w32x86\TPWinPrn.dll –> Publisher: Cortado AG

Como vemos, aparece toda la lista de ejecutables que han sido firmados por ‘Cortado AG’, que parece estar relacionado con VMware o al menos instalado a través de los paquetes de software de VMware
La herramienta con su correspondiente código fuente se puede descargar desde aquí: