豪迪群发器 » 热门资讯 » 网络安全专家发现由微软公司 WHQL 签名的 FiveSys 推动实际上是伪装的恶意软件

网络安全专家发现由微软公司 WHQL 签名的 FiveSys 推动实际上是伪装的恶意软件

发布时间:2021-10-23 ┊ 文章作者:豪迪群发

豪迪群发器 10 月 22 日信息,近日比特梵德(Bitdefender)的安全防护分析工作人员看到了一个由微软公司自身开展电子签名的新式 rootkit 故意驱动程序,名叫 FiveSys。此故意驱动程序含有“Windows 硬件配置品质试验室”(WHQL)验证,该验证由微软公司根据 Windows 硬件配置兼容方案(WHCP)对其各协作生产商送过来的驱动程序开展审查后公布。

比特梵德表述了 FiveSys rootkit 故意驱动程序感染的基本原理及其它的作用:“rootkit 的基本原理非常简易,其意义是利用一个自定代理来重定向受感染设备中的互联网技术总流量,此代理是以一个内嵌 300 个网站域名的文件列表中提炼下来的,这类重定向对 HTTP 和 HTTPS 都合理。Rootkit 在 HTTPS 开展重定向工作中时向其组装了一个自定的根证书,这样一来,电脑浏览器就不容易对该代理网络服务器的不明真实身份传出警示。”

豪迪群发器掌握到,到迄今为止,FiveSys 故意驱动程序的散播地区只仅限于中国,这很有可能说明其散布者关键对中国有兴趣。在其它重要特点层面,有关市场研究报告还提及,该 rootkit 阻拦客户开展注册表文件的改动,并企图阻拦其浏览受感染的系统软件。

除开重定向互联网技术总流量,该 rootkit 还阻拦别的恶意软件编写组的驱动程序在受感染电脑开展载入,很有可能该恶变程序流程已经限定别的的恶变程序流程进到被感染的系统软件。

比特梵德在提示微软公司后,微软公司就将该恶变驱动程序上的签字删除了,客户还可以在这篇比特梵德的官方网网络文章中掌握详细信息。

有意思的是,这并并不是微软公司第一次产生那样的事儿。在2021年 6 月,一个名叫“Netfilter”的恶变程序流程也经过了微软公司的 WHQL 签字验证,所感染电脑上的办法很有可能与本次相近。