网络安全专家发现经微软WHQL认证的FiveSys驱动实际上是款恶意程序

蓝天二号

Bitdefender 的网络安全专家近日发现了一款名为“FiveSys”的新恶意程序，它是一个 rootkit，实际上是由微软自己进行数字签名的。FiveSys 恶意驱动程序带有 Windows 硬件质量实验室（WHQL）认证，该认证由微软通过 Windows 硬件兼容计划（WHCP）对其各合作厂商送来的驱动程序包进行仔细核查后提供。

下面，Bitdefender 解释了 FiveSys rootkit 存在的原因以及它的功能。

rootkit 的目的很简单：它的目的是通过一个自定义的代{过}{滤}理来重定向受感染机器的互联网流量，这个代{过}{滤}理是从一个内置的 300 个域名列表中提取的。这种重定向对 HTTP 和 HTTPS 都有效；rootkit 为 HTTPS 重定向工作安装了一个自定义的根证书。这样一来，浏览器就不会对代{过}{滤}理服务器的未知身份发出警告。

除了重定向互联网流量外，该rootkit还阻止其他恶意软件编写组的驱动程序的加载，因为他们可能试图限制竞争对手的威胁者进入被破坏的系统。

据观察，到目前为止，FiveSys 的传播只限于中国，这可能表明威胁者主要对该地区感兴趣。在其他关键特征方面，相关白皮书还提到，该根包阻止注册表的修改，并试图阻止其竞争对手访问受感染的系统。

zyh127

有后续的进展么？

ywsh

微软原来也是个“流氓”。

仁鹰

FiveSys 的传播只限于中国，
为啥我没搜到这个文件？

xss517

供应链定向攻击 巨硬提供whql签名

aiping

签名文件以后也不能放过了

shuiyue96

所以发展自己的操作系统还是有必要的

abenma

认证了还是恶意程序，怎么认证的

xz777

abenma 发表于 2021-10-22 23:53
认证了还是恶意程序，怎么认证的

自己认证自己

lovelive10010

shuiyue96 发表于 2021-10-22 22:59
所以发展自己的操作系统还是有必要的

政府用的windows肯定是特殊版本，比如神州网信win10政府版,肯定是不联网的系统。