微比恩 > 信息聚合 > 网络安全专家发现由微软 WHQL 签名的 FiveSys 驱动其实是伪装的恶意软件

网络安全专家发现由微软 WHQL 签名的 FiveSys 驱动其实是伪装的恶意软件

2021-10-22 18:08:10来源: IT之家

IT之家 10 月 22 日消息,近日比特梵德(Bitdefender)的安全研究人员发现了一个由微软自己进行数字签名的新型 rootkit 恶意驱动程序,名为 FiveSys。此恶意驱动程序带有“Windows 硬件质量实验室”(WHQL)认证,该认证由微软通过 Windows 硬件兼容计划(WHCP)对其各合作厂商送来的驱动程序进行核查后发布。比特梵德解释了 FiveSys rootkit 恶意驱动程序感染的原理以及它的功能:“rootkit 的原理相当简单,其目的是通过一个自定义代理来重定向受感染机器中的互联网流量,此代理是从一个内置 300 个域名的列表中提取出来的,这种重定向对 HTTP 和 HTTPS 都有效。Rootkit 在 HTTPS 进行重定向工作时向其安装了一个自定义的根证书,这样一来,浏览器就不会对该代理服务器的未知身份发出警告。”IT之家了解到,到目前为止,FiveSys 恶意驱动程序的传播区域只限于中

关注公众号