本篇文章给各位网友带来的资讯是:网络安全专家发现由微软 WHQL 签名的 FiveSys 驱动其实是伪装的恶意软件 详情请欣赏下文
IT大王 10 月 22 日消息,近日比特梵德(Bitdefender)的安全研究人员发现了一个由微软自己进行数字签名的新型 rootkit 恶意驱动程序,名为 FiveSys。此恶意驱动程序带有“Windows 硬件质量实验室”(WHQL)认证,该认证由微软通过 Windows 硬件兼容计划(WHCP)对其各合作厂商送来的驱动程序进行核查后发布。
比特梵德解释了 FiveSys rootkit 恶意驱动程序感染的原理以及它的功能:“rootkit 的原理相当简单,其目的是通过一个自定义代理来重定向受感染机器中的互联网流量,此代理是从一个内置 300 个域名的列表中提取出来的,这种重定向对 HTTP 和 HTTPS 都有效。Rootkit 在 HTTPS 进行重定向工作时向其安装了一个自定义的根证书,这样一来,浏览器就不会对该代理服务器的未知身份发出警告。”
IT大王了解到,到目前为止,FiveSys 恶意驱动程序的传播区域只限于中国,这可能表明其散布者主要对中国感兴趣。在其他关键特征方面,相关白皮书还提到,该 rootkit 阻止用户进行注册表的修改,并试图阻止其访问受感染的系统。
除了重定向互联网流量,该 rootkit 还阻止其他恶意程序编写组的驱动程序在受感染电脑上进行加载,可能该恶性程序正在限制其他的恶性程序进入被感染的系统。
比特梵德在提醒微软后,微软就将该恶性驱动程序上的签名删除了,用户可以在这篇比特梵德的官方博客文章中了解详情。
有趣的是,这并不是微软第一次发生这样的事情。在今年 6 月,一个名为“Netfilter”的恶性程序也通过了微软的 WHQL 签名认证,所感染电脑的方法可能与此次类似。
1、IT大王遵守相关法律法规,由于本站资源全部来源于网络程序/投稿,故资源量太大无法一一准确核实资源侵权的真实性;
2、出于传递信息之目的,故IT大王可能会误刊发损害或影响您的合法权益,请您积极与我们联系处理(所有内容不代表本站观点与立场);
3、因时间、精力有限,我们无法一一核实每一条消息的真实性,但我们会在发布之前尽最大努力来核实这些信息;
4、无论出于何种目的要求本站删除内容,您均需要提供根据国家版权局发布的示范格式
《要求删除或断开链接侵权网络内容的通知》:https://itdw.cn/ziliao/sfgs.pdf,
国家知识产权局《要求删除或断开链接侵权网络内容的通知》填写说明: http://www.ncac.gov.cn/chinacopyright/contents/12227/342400.shtml
未按照国家知识产权局格式通知一律不予处理;请按照此通知格式填写发至本站的邮箱 wl6@163.com
