Desde los tiempos de Windows Vista. Microsoft requiere probar y firmar los drivers a instalar en sus sistemas para garantizar la seguridad de los mismos.

Sin embargo, según han informado, debido a un falso positivo, han detectado un controlador que estaba firmado por Microsoft y que se ejecutaba a nivel de Kernel.

Las caracteristicas de este Rootkit:

  • Contiene cadenas ofuscadas y cifradas.
  • Se redirige a una lista de direcciones IP específicas (mayortiatarianente chinas).
  • Contiene una rutina de actualización automática que envía su propio hash MD5 al servidor y a continuación, el servidor responde con la URL de la muestra más reciente o con OK si la muestra está actualizada. El malware reemplaza su propio archivo en consecuencia.
  • El rootkit recibe un certificado raíz y lo escribe en “\Registry\Machine\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\

Aunque algunos se preguntan del porqué de la necesidad de firma por parte de Microsoft si se cuela “malware” ellos le han querido quitar importancia a este fallo (que investigarán) diciendo que “el posible efecto se limitaría a la industria de los juegos, especialmente en China ” y que “el malware le permite obtener una ventaja en los juegos y posiblemente explotar a otros jugadores al comprometer sus cuentas a traves de herramientas comunes como keyloggers.

 

60
4 1 voto
Article Rating
Suscribirse
Notificación
guest
0 Comentarios
Inline Feedbacks
Ver todos los comentarios
0
¡Aquí puedes dejar tus comentarios!x