Компания Microsoft умудрилась заверить драйвер со встроенным вредоносным ПО

Вредоносное вложение типа руткит обнаружено в драйвере Netfilter, получившем цифровой сертификат Microsoft, специалистом компании G Data Карстеном Ханом, 29 июня сообщает американское издание об информационных технологиях ARS Technica.

Хан обратил внимание, что программа антивирусной защиты его компании идентифицирует драйвер Netfilter в качестве вредоносного программного обеспечения (ПО). Специалист решил сначала, что произошло ложное срабатывание, но решил продолжить исследование.

Он и его коллеги занялись подробным исследованием действий встроенного в драйвер ПО. Оказалось, что срабатывание системы защиты было правильным, а вредоносное вложение пропущено компанией Microsoft при тестировании драйвера и создании цифровой подписи.

«Похоже, что основная функция ПО перехватывает SSL-соединения. Помимо IP-перенаправления, ПО также устанавливает (и защищает) корневой сертификат в реестр», — сообщил специалист по реверс-инжинирингу Иоганн Айдинбас в своем Twitter.

Цель вредоносного ПО, судя по результатам исследования, заключалась в мошенничестве в сетевых компьютерных играх. Вредоносное вложение помогало злоумышленнику подделывать свое местоположение и получать преимущество над другими игроками.

В компании Microsoft признали ошибку и начали расследование инцидента. Выяснилось, что пользователь предоставил Netfilter на проверку через программу совместимости оборудования Windows. Сам драйвер был создан третьей стороной. В Microsoft приостановили действие учетной записи пользователя и проверили присланные им ранее материалы на предмет других вредоносных вложений.