Драйвер FiveSys, подписанный Microsoft WHQL, на самом деле был замаскированным вредоносным ПО

  • Категория: Microsoft
  • Дата: 22-10-2021, 14:40
  • Просмотров: 1 709

Вредоносные программы и так достаточно опасны. Но те, которые кажутся безобидными, поскольку они несут в себе какие-то признаки легитимности, вероятно, являются худшими из них. Именно так обстоит дело с новым вредоносным драйвером под названием «FiveSys».

Исследователи безопасности из компании Bitdefender обнаружили, что это новое вредоносное ПО, являющееся руткитом, на самом деле имеет цифровую подпись самой Microsoft. Вредоносный драйвер FiveSys имеет сертификат Windows Hardware Quality Labs (WHQL), который предоставляется Microsoft после тщательной проверки пакетов драйвера, присланных различными партнерами-поставщиками через Windows Hardware Compatibility Program (WHCP).



Ниже Bitdefender объяснила, почему существует руткит FiveSys и как он функционирует:

Цель руткита проста: он направлен на перенаправление интернет-трафика на зараженные машины через специальный прокси-сервер, который берется из встроенного списка из 300 доменов. Перенаправление работает как для HTTP, так и для HTTPS; руткит устанавливает собственный корневой сертификат для работы перенаправления HTTPS. Таким образом, браузер не предупреждает о неизвестной идентичности прокси-сервера.


Было замечено, что распространение FiveSys пока ограничено только Китаем, что, возможно, указывает на то, что субъекты угрозы заинтересованы в этой части региона. Если говорить про другие ключевые характеристики, то в техническом документе также упоминается, что руткит блокирует изменения реестра, а также пытается заблокировать доступ своих конкурентов к зараженной системе.

Помимо перенаправления интернет-трафика, руткит также блокирует загрузку драйверов из других групп, пишущих вредоносное ПО, поскольку они, вероятно, пытаются ограничить доступ злоумышленников-конкурентов к скомпрометированной системе.


Bitdefender заявляет, что после предупреждения Microsoft об этом вредоносном рутките компания удалила свою подпись из FiveSys. Вы можете прочитать об этом более подробно здесь.

Интересно, что это не первый случай за последнее время. Аналогичное вредоносное ПО под названием «Netfilter» также было проверено Microsoft ещё в июне, вероятно, аналогичным образом.

Узнать другие подробности можно здесь.
Илья Источник:
neowin.net
  • +2



  • Комментарии
  • ВКонтакте
  • Facebook
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Пользователи онлайн
Всего на сайте: 51
Пользователей: 0
Гостей: 51
Роботы: Yandex
+0  
Новостей: 15204
+0  
Комментариев: 39469
+0  
Пользователей: 10103