Microsoft подписала драйвер-зловред FiveSys

Зловреды всегда несут опасность пользователям операционной системы. Однако худший вариант — если они получили на это разрешения от самих разработчиков. Такое произошло со зловредом-драйвером под названием FiveSys.

Исследователи в области безопасности из Bitdefender выявили новый зловред, который на самом деле является руткитом. Особенным его делает то, что он подписан самой Microsoft. Вредоносный драйвер FiveSys получил сертификат Windows Hardware Quality Labs (WHQL), после того, как компания внимательно проверила пакет драйвера, как и остальные, направляемые партнёрами по программе Windows Hardware Compatibility Program (WHCP).

Вирусы
Вирусы

Безопасники рассказали о действии выявленного руткита:

Цель руткита проста: он нацелен на перенаправление интернет-траффика инфицированных машин на специальный прокси, который содержит список из 300 доменов. Перенаправление работает как на HTTP, так и на HTTPS. Руткит устанавливает собственные корневой сертификат для перенаправления HTTPS. Таким образом, браузер не предупреждает об использовании неизвестного прокси-сервера.

Подпись и сертификат вируса FiveSys
Подпись и сертификат вируса FiveSys

Важно отметить, что FiveSys распространяется исключительно в Китае, что потенциально говорит о нацеленности зловреда на этот регион. Также исследователи сообщили, что руткит блокирует модификации реестра, чтобы не допустить аналогичные действия от конкурирующих зловредов.