A Microsoft aláírt egy rosszindulatú kártevőt

Egy széles körben hamis pozitív találatnak hitt riasztásról a G DATA szakértői kiderítették, hogy egy kínai ip-címre forgalmat terelő, rendszerszintű kártevő váltotta ki, amelyet a Microsoft is aláírt elektronikusan.

A G DATA minden hozzá beküldött fals pozitív riasztást megvizsgál, hogy ezzel is javítsa vírusvédelmét. Így történt június közepén is, amikor a G DATA felhasználói egy lehetséges fals pozitív találatról küldtek értesítést: a Netfilter nevű driver-nél első pillantásra minden rendben volt, hiszen azt a Microsoft írta alá. A Windows Vista operációs rendszer óta kötelező az operációs rendszer által futtatott kódokat tesztelni a fejlesztőknek, és alá is kell írniuk mielőtt a felhasználók tömegesen elkezdi használni azokat, ezzel is biztosítva az operációs rendszer stabilitását. A tanúsítvány nélküli Microsoft drivereket alapból nem lehet telepíteni. A G DATA által felfedezett drivert a Microsoft valóban aláírta, de a szakemberek számára gyanús találatról közelebbi vizsgálat után kiderült, hogy egy olyan rootkit kártevőről van szó, amely egy kínai IP címre tereli a forgalmat. A G DATA az elemzésének adatait megosztotta a Microsoft-tal, amely azóta frissítette a Windows Defender szignatúra adatbázisát. Egyelőre nem derült ki, hogy a drivert pontosan ki és hogyan tudta aláírni, és így egy hiteles Microsoft drivernek feltüntetni.

A tanulság
Még olyankor is érdemes konzultálni a vírusvédelem gyártójával, amikor viszonylag biztosak vagyunk abban, hogy téves riasztásról van szó, mert az adott fájlt ismerjük, vagy az megbízható helyről származik. Tegyük meg, hogy eljuttatjuk azt a gyártónak, és a válaszáig lehetőleg ne futtassuk, ne telepítsük az állományt.

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Next Post

Orosz kémszolgálat próbálkozott az RNC rendszereinek feltörésével

csü júl 8 , 2021
Az orosz külföldi hírszerzéshez köthető hekkercsoport megtámadta a Republikánus Nemzeti Bizottság (RNC) számítógépes rendszereinek szolgáltatóját, de nem fért hozzá adatokhoz – értesült a Bloomberg. A hírügynökség két illetékesre hivatkozva azt írta, hogy az ART 29, más néven Cozy Bear hekkercsoport a múlt héten hajtott végre támadást a republikánus párt vezető […]
orosz sarló és kalapács

És még ez is...