网络安全专家发现由微软WHQL签名的FiveSys驱动其实是伪装的恶意软件

万年10月22日消息，近日比特梵德（Bitdefender）的安全研究人员发现了一个由微软自己进行数字签名的新型rootkit恶意驱动程序，名为FiveSys。此恶意驱动程序带有“Windows硬件质量实验室”（WHQL）认证，该认证由微软通过Windows硬件兼容计划（WHCP）对其各合作厂商送来的驱动程序进行核查后发布。

比特梵德解释了FiveSysrootkit恶意驱动程序感染的原理以及它的功能：“rootkit的原理相当简单，其目的是通过一个自定义代理来重定向受感染机器中的互联网流量，此代理是从一个内置300个域名的列表中提取出来的，这种重定向对HTTP和HTTPS都有效。Rootkit在HTTPS进行重定向工作时向其安装了一个自定义的根证书，这样一来，浏览器就不会对该代理服务器的未知身份发出警告。”

万年了解到，到目前为止，FiveSys恶意驱动程序的传播区域只限于中国，这可能表明其散布者主要对中国感兴趣。在其他关键特征方面，相关白皮书还提到，该rootkit阻止用户进行注册表的修改，并试图阻止其访问受感染的系统。

除了重定向互联网流量，该rootkit还阻止其他恶意程序编写组的驱动程序在受感染电脑上进行加载，可能该恶性程序正在限制其他的恶性程序进入被感染的系统。

比特梵德在提醒微软后，微软就将该恶性驱动程序上的签名删除了，用户可以在这篇比特梵德的官方博客文章中了解详情。

有趣的是，这并不是微软第一次发生这样的事情。在今年6月，一个名为“Netfilter”的恶性程序也通过了微软的WHQL签名认证，所感染电脑的方法可能与此次类似。