Microsoft ยังคงเซ็นชื่อมัลแวร์แบบดิจิทัล

บางครั้งเมื่อบุกรุกเข้าไปในสถานที่ที่ปลอดภัย จะเข้าทางประตูหน้าได้ง่ายกว่าการข้ามกำแพง แฮกเกอร์พบว่าสิ่งนี้เป็นจริงมากขึ้นเรื่อยๆ เมื่อพูดถึงมัลแวร์บน Windows

เมื่อต้นปีนี้มัลแวร์ชื่อ “ตัวกรองเน็ต” ได้รับการลงนามโดยห้องปฏิบัติการฮาร์ดแวร์ของ Microsoft ทำให้สามารถข้ามการป้องกันในตัวของ Windows ได้ รูทคิท Netfilter เป็นไดรเวอร์เคอร์เนลที่เป็นอันตรายซึ่งเผยแพร่กับเกมภาษาจีนและสื่อสารกับเซิร์ฟเวอร์คำสั่งและการควบคุมของจีน

ดูเหมือนว่าบริษัทจะเอาชนะความปลอดภัยของ Microsoft ได้ง่ายๆ โดยทำตามขั้นตอนปกติ และส่งไดรเวอร์เหมือนกับที่บริษัททั่วไปทำ

นักวิจัยด้านความปลอดภัยของ Bitdefender ได้ระบุรูทคิทใหม่ที่ลงนามโดย Microsoft ชื่อ FiveSys ซึ่งได้รับการลงนามแบบดิจิทัลโดย Windows Hardware Quality Labs (WHQL) ของ Microsoft และกำลังแจกจ่ายให้กับผู้ใช้ Windows โดยเฉพาะในประเทศจีน

จุดประสงค์ของรูทคิต FiveSys คือการเปลี่ยนเส้นทางการรับส่งข้อมูลทางอินเทอร์เน็ตในเครื่องที่ติดไวรัสผ่านพร็อกซีที่กำหนดเอง ซึ่งดึงมาจากรายการ 300 โดเมนในตัว การเปลี่ยนเส้นทางใช้ได้กับทั้ง HTTP และ HTTPS รูทคิตจะติดตั้งใบรับรองรูทแบบกำหนดเองเพื่อให้การเปลี่ยนเส้นทาง HTTPS ทำงานได้ ด้วยวิธีนี้ เบราว์เซอร์จะไม่เตือนถึงตัวตนที่ไม่รู้จักของพร็อกซีเซิร์ฟเวอร์

รูทคิตยังใช้กลยุทธ์ต่างๆ เพื่อป้องกันตัวเอง เช่น การบล็อกความสามารถในการแก้ไขรีจิสทรีและการหยุดการติดตั้งรูทคิตและมัลแวร์อื่นๆ จากกลุ่มต่างๆ

Bitdefender ติดต่อ Microsoft ซึ่งเพิกถอนลายเซ็นหลังจากนั้นไม่นาน แต่ใครจะรู้ว่ามีม้าโทรจันอีกกี่ตัวที่อยู่ในป่า

ผ่านทาง Neowin