Złośliwe oprogramowanie przeszło weryfikację Microsoftu! Jak to się stało?
-
- 22.10.2021, godz. 15:11
Zatwierdzony przez Microsoft WHQL sterownik FiveSys okazał się być w rzeczywistości złośliwym oprogramowaniem. Co się stało, że przeszło weryfikację?
Złośliwe oprogramowanie jest wystarczająco niebezpieczne samo w sobie. Te, które wydają się nieszkodliwe, ponieważ noszą na sobie jakieś wskaźniki legalności, są prawdopodobnie najgorsze z możliwych. Tak jest też w przypadku nowego złośliwego sterownika o nazwie FiveSys.
Badacze bezpieczeństwa z Bitdefender odkryli, że to nowe złośliwe oprogramowanie - jak się okazuje rootkit - w rzeczywistości jest cyfrowo podpisane i zatwierdzone przez samo Microsoft. Złośliwy sterownik FiveSys posiada certyfikat Windows Hardware Quality Labs (WHQL), który jest dostarczany przez Microsoft po dokładnej weryfikacji pakietów sterowników przesłanych przez różnych dostawców partnerskich w ramach programu Windows Hardware Compatibility Program (WHCP). Jak się jednak okazuje, weryfikacja nie została przeprowadzona poprawnie.
Zobacz również:
- Tiny10 - Windows 10 także doczekał się odchudzenia [AKTUALIZACJA]
- Windows 11: jak Copilot zmieni Twoje życie?
- Najlepszy antywirus dla Windows 10 i Windows 11 w 2023 roku
Źródło: Neowin.net
Bitdefender wyjaśnił, dlaczego rootkit FiveSys istnieje i jak działa:
Cel rootkita jest prosty: ma on na celu przekierowanie ruchu internetowego w zainfekowanych maszynach poprzez niestandardowe proxy, które jest pobierane z wbudowanej listy 300 domen. Przekierowanie działa zarówno dla HTTP, jak i HTTPS; rootkit instaluje niestandardowy certyfikat główny, aby przekierowanie HTTPS mogło działać. W ten sposób przeglądarka nie ostrzega o nieznanej tożsamości serwera proxy.
Zauważono, że rozprzestrzenianie się FiveSys jest jak dotąd ograniczone tylko do Chin, co może wskazywać na to, że aktorzy zagrożeń są zainteresowani głównie tą częścią regionu. Jeśli chodzi o inne kluczowe cechy, powiązany z nim whitepaper wspomina również, że rootkit blokuje modyfikacje rejestru, a także próbuje zablokować dostęp konkurencji do zainfekowanego systemu.
Oprócz przekierowywania ruchu internetowego, rootkit blokuje również ładowanie sterowników od innych grup piszących złośliwe oprogramowanie, ponieważ prawdopodobnie próbuje ograniczyć dostęp konkurencyjnych podmiotów do zainfekowanego systemu.
Bitdefender twierdzi, że po powiadomieniu Microsoftu o tym złośliwym rootkicie, firma z Redmond usunęła jego sygnaturę z FiveSys. Więcej szczegółów na ten temat można przeczytać w oficjalnym wpisie na blogu tutaj. Co ciekawe, nie jest to pierwszy taki przypadek w ostatnim czasie. Podobne złośliwe oprogramowanie o nazwie "Netfilter" również zostało zatwierdzone przez Microsoft w czerwcu, prawdopodobnie w podobny sposób.
Sprawdź również: Można się rozejść - nawet 10-letnie komputery jednak z aktualizacjami Windows 11
Autorzy
Artur Tomala
PCWorld
Jestem studentem dziennikarstwa i realizacji dźwięku, gdzie rozwijam swoje pasje dotyczące publikowania treści, technologii oraz muzyki. Hobbystycznie zajmuję się także produkcją i tworzeniem własnych utworów muzycznych. Pomimo bycia introwertykiem, uwielbiam spędzać czas na koncertach - zarówno pod sceną, jak i na niej. Z redakcją PCWorld.pl jestem związany od niedawna, a moje publikacje dotyczą głównie działu urządzeń mobilnych.
Więcej: Artur Tomala
