Microsoft heeft een backdoor ontdekt die zich in tegenstelling tot traditionele achterdeurtjes op netwerkniveau verbergt. De Exforel-malware zou volgens de softwaregigant voor een specifieke aanval op een bepaalde organisatie zijn ingezet. Eenmaal actief implementeert de malware een eigen TCP/IP stack en kaapt het verkeer op niveau van Network Driver Interface Specification (NDIS).
NDIS is een door Microsoft en 3Com ontwikkelde standaard die de communicatie tussen hardware en protocollen regelt. Door op het NDIS-niveau te zitten kan de backdoor het TCP-verkeer onderscheppen. Vervolgens is het mogelijk om zo bestanden te uploaden, downloaden, uitvoeren of TCP/IP pakketten te routeren.
"De door Exforel gebruikte backdoor op NDIS-niveau is veel onopvallender dan traditionele backdoors. Er is geen verbindende/luisterende poort, dus is het lastiger op te merken. Het backdoorverkeer is hierdoor volledig onzichtbaar voor user-mode applicaties", zegt Chung Feng van het Microsoft Malware Protection Center.
Deze posting is gelocked. Reageren is niet meer mogelijk.