Microsoft все ще використовує зловмисне програмне забезпечення цифрового підпису
2 хв. читати
Опубліковано
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Іноді, проникаючи в захищене приміщення, легше потрапити через вхідні двері, ніж через стіну. Хакери все частіше вважають, що це правда, коли справа доходить до завантаження шкідливого програмного забезпечення в Windows.
На початку цього року зловмисне програмне забезпечення під назвою «netfilter” був підписаний апаратними лабораторіями Microsoft, що дозволило йому обійти вбудовані засоби захисту Windows. Руткіт Netfilter був шкідливим драйвером ядра, який поширювався з китайськими іграми і який зв'язується з китайськими серверами командування та управління.
Схоже, компанія перемогла безпеку Microsoft, просто дотримуючись звичайних процедур і подавши драйвер, як і будь-яка звичайна компанія.
Дослідники безпеки Bitdefender тепер визначили новий руткіт, підписаний Microsoft, під назвою FiveSys, який також був підписаний лабораторією якості обладнання Windows (WHQL) Microsoft і поширюється серед користувачів Windows у дикій природі, зокрема в Китаї.
Метою руткіту FiveSys є перенаправлення інтернет-трафіку на заражених машинах через спеціальний проксі-сервер, який витягується з вбудованого списку з 300 доменів. Переспрямування працює як для HTTP, так і для HTTPS; руткіт встановлює користувацький кореневий сертифікат для роботи переспрямування HTTPS. Таким чином, браузер не попереджає про невідому особу проксі-сервера.
Руткіт також використовує різні стратегії для захисту, наприклад, блокує можливість редагування реєстру та зупиняє встановлення інших руткітів і шкідливих програм із різних груп.
Bitdefender зв'язався з Microsoft, яка невдовзі відкликала підпис, але хто знає, скільки інших троянських коней є в дикій природі.
через Neowin