Bitdefender 网络安全专家最近发现了一个名字“FiveSys”新的恶意程序是 rootkit,微软实际上是自己签名的。FiveSys 恶意驱动程序带 Windows 硬件质量实验室(WHQL)微软通过 认证Windows 硬件兼容计划(WHCP)仔细检查各合作厂家发送的驱动程序包后提供。
下面,Bitdefender 解释了 FiveSys rootkit 存在的原因及其功能。
rootkit 的目的很简单:它的目的是通过一个自定义的代理来重定向受感染机器的互联网流量,这个代理是从一个内置的 300 个域名列表中提取的。这种重定向对 HTTP 和 HTTPS 都有效;rootkit 为 HTTPS 重定向工作安装了自定义证书。这样,浏览器就不会警告代理服务器的未知身份。
除了重定向互联网流量外,rootkit由于他们可能试图限制竞争对手的威胁者进入被破坏的系统,因此也可以阻止其他恶意软件编写组的驱动程序加载。
据观察,到目前为止,FiveSys 的传播仅限于中国,这可能表明威胁者主要对该地区感兴趣。在其他关键特征方面,白皮书还提到,该包阻止了注册表的修改,并试图阻止其竞争对手访问感染系统。