Microsoft signerar fortfarande skadlig programvara digitalt

Ibland när man bryter sig in i en säker anläggning är det lättare att komma in genom ytterdörren än att gå över väggen. Hackare upplever alltmer att detta är sant när det gäller att få in skadlig programvara till Windows.

Tidigare i år en skadlig kod som heter "Nätfilter” signerades av Microsofts hårdvaralabb, vilket gjorde det möjligt att kringgå Windowss inbyggda försvar. Netfilter rootkit var en skadlig kärndrivrutin som distribuerades med kinesiska spel och som kommunicerar med kinesiska kommando- och kontrollservrar.

Det verkar som om företaget besegrade Microsofts säkerhet helt enkelt genom att följa normala procedurer och skicka in drivrutinen som vilket normalt företag som helst.

Bitdefender säkerhetsforskare har nu identifierat ett nytt Microsoft-signerat rootkit, som heter FiveSys, som också har signerats digitalt av Microsofts Windows Hardware Quality Labs (WHQL) och som distribueras till Windows-användare i det vilda, särskilt i Kina.

Syftet med FiveSys rootkit är att omdirigera internettrafiken i de infekterade maskinerna genom en anpassad proxy, som hämtas från en inbyggd lista med 300 domäner. Omdirigeringen fungerar för både HTTP och HTTPS; rootkit installerar ett anpassat rotcertifikat för att HTTPS-omdirigering ska fungera. På detta sätt varnar inte webbläsaren för proxyserverns okända identitet.

Rootkit använder också olika strategier för att skydda sig, som att blockera möjligheten att redigera registret och stoppa installationen av andra rootkits och skadlig programvara från olika grupper.

Bitdefender kontaktade Microsoft som återkallade signaturen kort efter, men vem vet hur många andra trojanska hästar som finns i det vilda.

via Neowin