Microsoft stále digitálne podpisuje malvér

Niekedy pri vlámaní sa do zabezpečeného zariadenia je jednoduchšie vojsť cez predné dvere, ako prejsť cez stenu. Hackeri čoraz viac zisťujú, že je to pravda, pokiaľ ide o prenesenie škodlivého softvéru do systému Windows.

Začiatkom tohto roka malvér s názvom „netfilter” podpísali hardvérové ​​laboratóriá spoločnosti Microsoft, čo mu umožnilo obísť vstavanú obranu systému Windows. Netfilter rootkit bol škodlivý ovládač jadra, ktorý bol distribuovaný s čínskymi hrami a ktorý komunikuje s čínskymi servermi velenia a riadenia.

Zdá sa, že spoločnosť porazila bezpečnosť spoločnosti Microsoft jednoduchým dodržiavaním bežných postupov a odoslaním ovládača tak, ako by to urobila každá normálna spoločnosť.

Výskumníci v oblasti bezpečnosti Bitdefender teraz identifikovali nový rootkit podpísaný spoločnosťou Microsoft s názvom FiveSys, ktorý bol tiež digitálne podpísaný laboratóriami Windows Hardware Quality Labs (WHQL) spoločnosti Microsoft a je distribuovaný používateľom systému Windows vo voľnej prírode, najmä v Číne.

Účelom rootkitu FiveSys je presmerovať internetovú prevádzku v infikovaných počítačoch prostredníctvom vlastného proxy servera, ktorý sa čerpá zo vstavaného zoznamu 300 domén. Presmerovanie funguje pre HTTP aj HTTPS; rootkit nainštaluje vlastný koreňový certifikát, aby presmerovanie HTTPS fungovalo. Týmto spôsobom prehliadač neupozorňuje na neznámu identitu proxy servera.

Rootkit tiež používa rôzne stratégie na svoju ochranu, napríklad blokovanie možnosti upravovať register a zastavenie inštalácie iných rootkitov a malvéru z rôznych skupín.

Bitdefender kontaktoval Microsoft, ktorý podpis krátko nato odvolal, ale ktovie, koľko ďalších trójskych koní je vo voľnej prírode.

via Neowin