Bitdefender的网络安全专家最近发现了一个新的带有自身数字签名的恶意程序。FiveSys恶意驱动程序附带Windows硬件质量实验室(WHQL)认证,该认证由Microsoft在仔细审查其各个合作伙伴供应商发送的驱动程序包后通过Windows硬件兼容性计划(WHCP)提供。下面,Bitdefender解释了FiveSysrootkit存在的原因及其作用。Rootkit的目的很简单:它的目的是通过从300个域名的内置列表中提取的自定义代理重定向受感染机器的互联网流量。此重定向适用于HTTP和HTTPS;rootkit会安装自定义根证书,以便HTTPS重定向正常工作。这样,浏览器就不会警告您代理服务器的身份未知。除了重定向Internet流量之外,rootkit还可以防止加载来自其他恶意软件编写组的驱动程序,因为它们可能会试图限制竞争对手威胁参与者对受感染系统的访问。到目前为止,已观察到FiveSys的传播仅限于中国,这可能表明威胁行为者主要对该地区感兴趣。在其他关键特性方面,相关白皮书还提到根包阻止注册表修改,并试图阻止其竞争对手访问受感染的系统。
