近日,據外媒報導,微軟承認簽署了一個名叫Netfilter rootkit的惡意核心驅動程式,它與一種遊戲一起分發,可以與其來源的控制伺服器進行通訊。
該惡意程式通過Windows硬體相容計劃提交驅動程式進行認證。這些驅動程式是由第三方建立的。
目前微軟已經暫停了該賬戶,並審查了他們提交的檔案,以確定是否有其他惡意軟體的跡象。
該驅動程式有一個自我更新例程,通過hxxp://110.42.4.180:2081/v?v=6&m=將其自己的 MD5 雜湊傳送到伺服器,隨後伺服器用最新樣本的 URL 進行響應,例如 hxxp://110.42.4.180:2081/d6,如果樣本是最新的則響應'OK',惡意軟體相應地替換自己的檔案。
此外,該惡意程式還具有自我更新的能力,這意味著黑客可以在核心級別的的安全背景下在Windows計算機上執行任意程式碼。
不過微軟認為Netfilter 流氓驅動程式的影響有限,它針對遊戲玩家,使用者需要在 PC 上獲得管理員級別的訪問許可權才能安裝該驅動。換句話說,除非使用者特意載入該驅動,那麼 Netfilter 將不會構成威脅。
目前尚不清楚 rootkit 是如何通過微軟的證照籤名過程的,微軟表示正在調查,並將“完善”簽名過程、合作伙伴訪問策略和驗證。微軟表示,將與驅動製造商合作,向 Windows 使用者推送乾淨的驅動程式。
推薦文章++++
* 小錯誤大麻煩!一不小心Python安裝的可能就是惡意軟體
* “防毒軟體之父”麥卡菲獄中自殺,“傳奇”人生落幕
* 最新惡意軟體來襲!專攻Windows盜版使用者
* 黑客兜售超330萬資料!大眾汽車客戶躺槍
* iOS又有新Bug,iPhone連線此類Wi-Fi會使其無線癱瘓
* 最新!Win7將不再通過Windows Update下載驅動更新
﹀
﹀
﹀
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com