微软承认签名通过恶意Netfilter rootkit内核驱动程序

近日，据外媒报道，微软承认签署了一个名叫Netfilter rootkit的恶意内核驱动程序，它与一种游戏一起分发，可以与其来源的控制服务器进行通信。

该恶意程序通过Windows硬件兼容计划提交驱动程序进行认证。这些驱动程序是由第三方建立的。

目前微软已经暂停了该账户，并审查了他们提交的文件，以确定是否有其他恶意软件的迹象。

该驱动程序有一个自我更新例程，通过hxxp://110.42.4.180:2081/v?v=6&m=将其自己的 MD5 哈希发送到服务器，随后服务器用最新样本的 URL 进行响应，例如 hxxp://110.42.4.180:2081/d6，如果样本是最新的则响应'OK'，恶意软件相应地替换自己的文件。

此外，该恶意程序还具有自我更新的能力，这意味着黑客可以在内核级别的的安全背景下在Windows计算机上运行任意代码。

不过微软认为Netfilter 流氓驱动程序的影响有限，它针对游戏玩家，用户需要在 PC 上获得管理员级别的访问权限才能安装该驱动。换句话说，除非用户特意加载该驱动，那么 Netfilter 将不会构成威胁。

目前尚不清楚 rootkit 是如何通过微软的证书签名过程的，微软表示正在调查，并将“完善”签名过程、合作伙伴访问策略和验证。微软表示，将与驱动制造商合作，向 Windows 用户推送干净的驱动程序。