Le malware Derusbi bypass le système de signatures de drivers Windows

Un article intéressant de Sekoia.fr explique comment un rootkit baptisé Derusbi parvient à mettre en échec le système de vérification des signatures cryptographiques des drivers sous Windows.

Le malware commence par installer des drivers légitimes mais vulnérables qu’il exploite afin d’accéder à la mémoire kernel du système pour y modifier un flag gardant l’état de la vérification de ces signatures.
Une fois le flag modifié il installe alors son driver malicieux sans être inquiété par la vérification des signatures.