A Microsoft továbbra is digitálisan ír alá rosszindulatú programokat

Néha egy biztonságos létesítménybe való behatoláskor könnyebb a bejárati ajtón keresztül bejutni, mint átmenni a falon. A hackerek ezt egyre inkább igaznak találják, amikor rosszindulatú programokat juttatnak a Windowsba.

Az év elején egy rosszindulatú program, a „netfilter” írta alá a Microsoft hardverlaboratóriuma, ami lehetővé tette a Windows beépített védelmének megkerülését. A Netfilter rootkit egy rosszindulatú kernel-illesztőprogram volt, amelyet kínai játékokkal terjesztettek, és amely kommunikál a kínai Command and Control szerverekkel.

Úgy tűnik, a vállalat legyőzte a Microsoft biztonságát egyszerűen azzal, hogy követte a szokásos eljárásokat, és beküldte az illesztőprogramot, ahogyan azt bármely normál vállalat tenné.

Bitdefender biztonsági kutatók azonosítottak egy új, Microsoft által aláírt rootkitet, a FiveSys-t, amelyet a Microsoft Windows Hardware Quality Labs (WHQL) digitális aláírásával is aláírt, és amelyet a Windows-felhasználók vadon terjesztenek, különösen Kínában.

A FiveSys rootkit célja, hogy a fertőzött gépeken az internetes forgalmat átirányítsa egy egyéni proxyn keresztül, amely egy 300 tartományból álló beépített listából származik. Az átirányítás HTTP és HTTPS esetén is működik; a rootkit egyéni gyökértanúsítványt telepít a HTTPS-átirányítás működéséhez. Ily módon a böngésző nem figyelmeztet a proxyszerver ismeretlen identitására.

A rootkit különféle stratégiákat is használ saját védelmére, például blokkolja a rendszerleíró adatbázis szerkesztésének lehetőségét, és leállítja a különböző csoportokból származó egyéb rootkitek és rosszindulatú programok telepítését.

A Bitdefender felvette a kapcsolatot a Microsofttal, aki nem sokkal később visszavonta az aláírást, de ki tudja, hány más trójai faló van a vadonban.

keresztül Neowin