Uwaga na rootkit z podpisem cyfrowym
Sterownik FiveSys, który otrzymał podpis cyfrowy Microsoftu, okazał się w rzeczywistości rootkitem. Błąd popełniony w procesie weryfikacji wykryli badacze Bitdefendera.
BIZNES INTERIA na Facebooku i jesteś na bieżąco z najnowszymi wydarzeniami
Rootkit to określenie złośliwego oprogramowania, które zostało stworzone, aby zainfekować komputer i zainstalować w nim narzędzia, gwarantujące trwały, zdalny dostęp.
Zainstalowane mechanizmy, sprawiają, że użytkownik nie ma pełnej kontroli nad funkcjonowaniem systemu swojego komputera, a jednocześnie nawet o tym nie wie.
W ciągu ostatnich kilku miesięcy badacze Bitdefender zaobserwowali wzrost liczby złośliwych sterowników z ważnymi podpisami cyfrowymi wydawanymi w procesie podpisywania Windows Hardware Quality Labs (WHQL). Ten rodzaj certyfikatu jest wydawany przez Microsoft po dokładnej weryfikacji pakietów sterowników przesłanych przez różnych dostawców.
Bitdefender zwraca uwagę na błędnie przeprowadzoną wersyfikację FivSys - podpisanym cyfrowo rootkicie, który pozytywne przeszedł przez proces certyfikacji sterowników.
Rootkit przekierowuje ruch internetowy na zainfekowanych maszynach poprzez proxy pobierane z wbudowanej listy 300 domen.
Przekierowanie działa dla protokołów HTTP oraz HTTPS.
Analizy Bitdefendera wskazują na to, że rootkit jest ukierunkowany na gry online, a jego główny cel to kradzież danych uwierzytelniających. Rootkit funkcjonuje już od roku i zdaniem ekspertów jak na razie występuje jedynie na rynku chińskim.