Microsoft signerer fortsatt skadelig programvare digitalt

Noen ganger når man bryter seg inn i et sikkert anlegg, er det lettere å komme inn gjennom inngangsdøren enn å gå over veggen. Hackere opplever i økende grad at dette er sant når det gjelder å få skadevare til Windows.

Tidligere i år en skadevare kalt "Nettfilter” ble signert av Microsofts maskinvarelaboratorier, slik at den kan omgå Windowss innebygde forsvar. Netfilter rootkit var en ondsinnet kjernedriver som ble distribuert med kinesiske spill og som kommuniserer med kinesiske kommando- og kontrollservere.

Det ser ut til at selskapet beseiret Microsofts sikkerhet ganske enkelt ved å følge vanlige prosedyrer, og sende inn driveren som et hvilket som helst normalt selskap.

Bitdefender sikkerhetsforskere har nå identifisert et nytt Microsoft-signert rootkit, kalt FiveSys, som også er digitalt signert av Microsofts Windows Hardware Quality Labs (WHQL) og distribueres til Windows-brukere i naturen, spesielt i Kina.

Formålet med FiveSys rootkit er å omdirigere internettrafikken i de infiserte maskinene gjennom en tilpasset proxy, som er hentet fra en innebygd liste med 300 domener. Omdirigeringen fungerer for både HTTP og HTTPS; rootkitten installerer et tilpasset rotsertifikat for at HTTPS-omdirigering skal fungere. På denne måten advarer ikke nettleseren om den ukjente identiteten til proxy-serveren.

Rootsettet bruker også ulike strategier for å beskytte seg selv, som å blokkere muligheten til å redigere registeret og stoppe installasjonen av andre rootkits og skadelig programvare fra forskjellige grupper.

Bitdefender kontaktet Microsoft som opphevet signaturen kort tid etter, men hvem vet hvor mange andre trojanske hester som er i naturen.

av Neowin