Microsoft signerer stadig malware digitalt

Nogle gange, når man bryder ind i et sikkert anlæg, er det lettere at komme ind gennem hoveddøren end at gå over væggen. Hackere finder i stigende grad, at dette er sandt, når det kommer til at få malware ind i Windows.

Tidligere i år en malware kaldet "netfilter” blev underskrevet af Microsofts hardwarelaboratorier, hvilket gør det muligt at omgå Windowss indbyggede forsvar. Netfilter rootkit var en ondsindet kernedriver, som blev distribueret med kinesiske spil, og som kommunikerer med kinesiske kommando- og kontrolservere.

Det ser ud til, at virksomheden besejrede Microsofts sikkerhed blot ved at følge normale procedurer og indsende driveren, som enhver normal virksomhed ville.

Bitdefender sikkerhedsforskere har nu identificeret et nyt Microsoft-signeret rootkit, ved navn FiveSys, der også er blevet digitalt signeret af Microsofts Windows Hardware Quality Labs (WHQL) og distribueres til Windows-brugere i naturen, især i Kina.

Formålet med FiveSys rootkit er at omdirigere internettrafikken på de inficerede maskiner gennem en brugerdefineret proxy, som er trukket fra en indbygget liste med 300 domæner. Omdirigeringen fungerer for både HTTP og HTTPS; rootkittet installerer et brugerdefineret rodcertifikat, så HTTPS-omdirigering fungerer. På denne måde advarer browseren ikke om proxyserverens ukendte identitet.

Rootkittet bruger også forskellige strategier til at beskytte sig selv, som at blokere muligheden for at redigere registreringsdatabasen og stoppe installationen af ​​andre rootkits og malware fra forskellige grupper.

Bitdefender kontaktede Microsoft, som tilbagekaldte signaturen kort efter, men hvem ved, hvor mange andre trojanske heste, der er i naturen.

via Neowin