Рооткит злонамерни софтвер пронађен у потписаном Виндовс драјверу

Мицрософт је навео да је откривено да управљачки програм сертификован од стране Виндовс Хардваре Цомпатибилити Програма (ВХЦП) садржи руткит малвер, али каже да инфраструктура сертификата није угрожена.

У а изјава објављено у Мицрософт-овом центру за безбедносни одговор, компанија потврђује да је открила компромитовани драјвер и суспендовала налог који га је првобитно послао. Како је истакао од Блеепинг Цомпутер, овај инцидент је вероватно изазван слабошћу у самом процесу потписивања кода.

Мицрософт такође каже да није видео ниједан доказ да је ВХЦП сертификат за потписивање компромитован, тако да је мало вероватно да је неко могао да лажира сертификат.

Руткит је дизајниран да маскира своје присуство, што га чини тешким за откривање чак и док је покренут. Малвер скривен унутар руткита може да се користи за крађу података, мењање извештаја, преузимање контроле над зараженим системом итд.

Према Мицрософт-у, изгледа да је малвер возача намењен за коришћење са онлајн играма и може да превари геолокацију корисника како би им омогућио да играју са било ког места. Такође им може дозволити да компромитују рачуне других играча коришћењем кеилоггера.

Према извештају Центра за безбедносни одговор, „активност глумца је ограничена на сектор игара посебно у Кини и изгледа да не циља на окружења предузећа." Такође наводи да управљачки програм мора бити ручно инсталиран да би био делотворан.

Осим ако систем већ није био компромитован и ако је нападачу одобрио администраторски приступ, или сам корисник то намерно уради, нема стварног ризика.

Мицрософт такође каже да ће управљачки програм и повезане датотеке бити откривен и блокиран од стране МС Дефендер-а за Ендпоинт. Ако мислите да сте можда преузели или инсталирали овај драјвер, можете да проверите „Индикатори компромитовања“ у Центру за безбедносни одговор извештај.