在已签名的Windows驱动程序中发现Rootkit恶意软件

微软表示，一个由Windows硬件兼容程序(WHCP)认证的驱动程序被发现含有rootkit恶意软件，但表示证书基础设施没有受到损害。

在一个声明在微软安全响应中心发布的消息中，该公司证实发现了被泄露的驱动程序，并已暂停了最初提交该程序的账户。正如电脑发出哔哔声在美国，这次事件很可能是由于代码签名过程本身的缺陷造成的。

微软还表示，它没有看到WHCP签名证书被泄露的证据，所以不太可能有人能够伪造证书。

一个rootkit被设计成隐藏它的存在，使它难以检测，即使在它运行。隐藏在rootkit中的恶意软件可以用来窃取数据，修改报告，控制受感染的系统，等等。

据微软称，该驱动程序的恶意软件似乎是用于在线游戏，可以欺骗用户的地理位置，让他们在任何地方玩游戏。这也可能让他们通过使用键盘记录程序来破坏其他玩家的帐户。

根据安全响应中心的报告，“该演员的活动仅限于中国的游戏行业，似乎并没有针对企业环境。”它还声明，驱动程序必须手动安装才能生效。

除非系统已经被攻破，并将管理访问权限授予攻击者，或者用户自己故意这样做，否则不会有真正的风险。

微软还表示，该驱动程序及其相关文件将被微软端点防御程序检测到并阻止。如果您认为您可能已经下载或安装了这个驱动程序，您可以在安全响应中心检查“妥协指标”报告．