網(wǎng)絡(luò)安全專(zhuān)家發(fā)現(xiàn)由微軟 WHQL 簽名的 FiveSys 驅(qū)動(dòng)其實(shí)是偽裝的惡意軟件

IT之家 10 月 22 日消息，近日比特梵德（Bitdefender）的安全研究人員發(fā)現(xiàn)了一個(gè)由微軟自己進(jìn)行數(shù)字簽名的新型 rootkit 惡意驅(qū)動(dòng)程序，名為 FiveSys。此惡意驅(qū)動(dòng)程序帶有“Windows 硬件質(zhì)量實(shí)驗(yàn)室”（WHQL）認(rèn)證，該認(rèn)證由微軟通過(guò) Windows 硬件兼容計(jì)劃（WHCP）對(duì)其各合作廠商送來(lái)的驅(qū)動(dòng)程序進(jìn)行核查后發(fā)布。

比特梵德解釋了 FiveSys rootkit 惡意驅(qū)動(dòng)程序感染的原理以及它的功能：“rootkit 的原理相當(dāng)簡(jiǎn)單，其目的是通過(guò)一個(gè)自定義代理來(lái)重定向受感染機(jī)器中的互聯(lián)網(wǎng)流量，此代理是從一個(gè)內(nèi)置 300 個(gè)域名的列表中提取出來(lái)的，這種重定向?qū)?HTTP 和 HTTPS 都有效。Rootkit 在 HTTPS 進(jìn)行重定向工作時(shí)向其安裝了一個(gè)自定義的根證書(shū)，這樣一來(lái)，瀏覽器就不會(huì)對(duì)該代理服務(wù)器的未知身份發(fā)出警告。”

IT之家了解到，到目前為止，F(xiàn)iveSys 惡意驅(qū)動(dòng)程序的傳播區(qū)域只限于中國(guó)，這可能表明其散布者主要對(duì)中國(guó)感興趣。在其他關(guān)鍵特征方面，相關(guān)白皮書(shū)還提到，該 rootkit 阻止用戶進(jìn)行注冊(cè)表的修改，并試圖阻止其訪問(wèn)受感染的系統(tǒng)。

除了重定向互聯(lián)網(wǎng)流量，該 rootkit 還阻止其他惡意程序編寫(xiě)組的驅(qū)動(dòng)程序在受感染電腦上進(jìn)行加載，可能該惡性程序正在限制其他的惡性程序進(jìn)入被感染的系統(tǒng)。

比特梵德在提醒微軟后，微軟就將該惡性驅(qū)動(dòng)程序上的簽名刪除了，用戶可以在這篇比特梵德的官方博客文章中了解詳情。

有趣的是，這并不是微軟第一次發(fā)生這樣的事情。在今年 6 月，一個(gè)名為“Netfilter”的惡性程序也通過(guò)了微軟的 WHQL 簽名認(rèn)證，所感染電腦的方法可能與此次類(lèi)似。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。