網(wǎng)絡(luò)安全專家發(fā)現(xiàn)由微軟 WHQL 簽名的 FiveSys 驅(qū)動(dòng)其實(shí)是偽裝的惡意軟件

IT之家 10 月 22 日消息，近日比特梵德（Bitdefender）的安全研究人員發(fā)現(xiàn)了一個(gè)由微軟自己進(jìn)行數(shù)字簽名的新型 rootkit 惡意驅(qū)動(dòng)程序，名為 FiveSys。此惡意驅(qū)動(dòng)程序帶有“Windows 硬件質(zhì)量實(shí)驗(yàn)室”（WHQL）認(rèn)證，該認(rèn)證由微軟通過 Windows 硬件兼容計(jì)劃（WHCP）對其各合作廠商送來的驅(qū)動(dòng)程序進(jìn)行核查后發(fā)布。

比特梵德解釋了 FiveSys rootkit 惡意驅(qū)動(dòng)程序感染的原理以及它的功能：“rootkit 的原理相當(dāng)簡單，其目的是通過一個(gè)自定義代理來重定向受感染機(jī)器中的互聯(lián)網(wǎng)流量，此代理是從一個(gè)內(nèi)置 300 個(gè)域名的列表中提取出來的，這種重定向?qū)?HTTP 和 HTTPS 都有效。Rootkit 在 HTTPS 進(jìn)行重定向工作時(shí)向其安裝了一個(gè)自定義的根證書，這樣一來，瀏覽器就不會對該代理服務(wù)器的未知身份發(fā)出警告。”

IT之家了解到，到目前為止，F(xiàn)iveSys 惡意驅(qū)動(dòng)程序的傳播區(qū)域只限于中國，這可能表明其散布者主要對中國感興趣。在其他關(guān)鍵特征方面，相關(guān)白皮書還提到，該 rootkit 阻止用戶進(jìn)行注冊表的修改，并試圖阻止其訪問受感染的系統(tǒng)。

除了重定向互聯(lián)網(wǎng)流量，該 rootkit 還阻止其他惡意程序編寫組的驅(qū)動(dòng)程序在受感染電腦上進(jìn)行加載，可能該惡性程序正在限制其他的惡性程序進(jìn)入被感染的系統(tǒng)。

比特梵德在提醒微軟后，微軟就將該惡性驅(qū)動(dòng)程序上的簽名刪除了，用戶可以在這篇比特梵德的官方博客文章中了解詳情。

有趣的是，這并不是微軟第一次發(fā)生這樣的事情。在今年 6 月，一個(gè)名為“Netfilter”的惡性程序也通過了微軟的 WHQL 簽名認(rèn)證，所感染電腦的方法可能與此次類似。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。