Программное обеспечение Windows, работающее на уровне ядра, должно быть подписано Microsoft. Это требование безопасности с целью защиты системы от глубокого поражения вредоносным программным обеспечением, но абсолютной защиты не существует и даже подпись Microsoft не всегда гарантирует безопасность.

Источник изображения Pete Linforth, Pixabay

 

Благодаря аналитику компании G Data Software Карстену Хану стало известно о распространении вредоносного драйвера Netfilter с подписью Microsoft. Изначально тревога системы защиты была классифицирована как ложное срабатывание, однако после расследования выяснилось, что угроза была определена верно.

Драйвер перенаправлял трафик на сервер в Китае. Сервер все еще активен и продолжает взаимодействовать с драйвером. Microsoft подтвердила инцидент и проводит активное расследование. В официальном ответе ресурсу BleepingComputer говорится, что « … злоумышленник представил драйверы для сертификации через программу совместимости оборудования. Драйверы были созданы третьей стороной … главной целью был игровой сектор Китая». Не сообщается, как распространялся драйвер, антивирусное ПО на данный момент должно определять его как вирус.

Источник: G Data, BleepingComputer