近日，360安全大脑监测发现，6月中旬发现带有WHQL签名的恶意驱动“Netfilter rootkit”。WHQL签名是指硬件驱动通过微软认证后，微软会在驱动中加入“微软Windows硬件兼容性发布者”的数字签名。Netfilter rootkit现已更新到第二代，并继续保留微软签名。而且升级后的Netfilter rootkit的隐蔽性大大增加，使得在线杀毒网站virustotal上依然没有相关报道。

鉴于第二代Netfilter rootkit与之前版本在功能和名称上的差异，360安全团队将其命名为“NetRedirect rootkit”。虽然NetRedirect rootkit极具隐蔽性和危害性，但360安全卫士依然可以实现定向防御和彻底查杀，从根本上解决用户的安全问题。

事实上，早在6月25日，微软安全响应中心就表示已暂停Netfilter rootkit的账号，并审核了其发布的其他文件。“根据我们的零信任和分层防御安全情况，我们通过Microsoft Defender for Endpoint内置了检测和阻止此驱动程序和相关文件的功能。”但高度同源、行为相似的第二代产品——NetRedirect rootkit，依然有微软的签名，大大提高了其隐蔽性和查杀难度。

此外，NetRedirect rootkit的危害性也得到了显著提升。鉴于NetRedirect rootkit云控制rootkit分发的方式，目前恶意厂商完全有能力在中毒机器上实现任何恶意rootkit，而不仅仅是具备IP劫持功能。

再者，与上一代Netfilter rootkit验证自身文件md5实现文件自更新不同，NetRedirect rootkit采用伪装驱动与恶意驱动分离的形式，真正的恶意驱动以云控制的方式存储在木马C C服务器中，而伪装成WFP网络过滤功能的本地驱动则负责向服务器请求恶意文件数据，并以内存加载的隐藏方式调用rootkit入口地址。在此基础上，未来NetRedirect rootkit的行为将变得越来越不可预测。

综上所述，不久前Windows 11推广的TPM和安全引导的安全功效，对于带有WHQL签名，可以加载到安全引导机上的NetRedirect rootkit，并不能达到保护效果。

但是，用户不需要担心。在360安全卫士的准确性、实时性和智能性的保护下，这类rootkit无法绕过360安全卫士的基于行为的检测。360安全大脑赋能的新一代防御技术，可以防患于未然，还能彻底杀死中毒机器。同时，360安全大脑也推荐用户：

1.前往//weishi.360.cn/下载并安装360安全防护装置进行防护。

2.对于360安全卫士截获的不熟悉的软件，不要继续运行和添加信任。

3.如果不小心感染了木马，可以去//weishi.360.cn/下载安装360安全卫士，使用360安全卫士的查杀服务。

特别声明：以上内容(包括图片或视频)由站长媒体平台用户上传发布，站长媒体平台仅提供信息存储服务。

腾讯管家360安全卫士卸载360安全卫士360安全卫士如何还原文件360安全卫士360安全卫士pc360安全卫士没有写权限360安全卫士日常用户360安全卫士官网首页如何彻底删除360安全卫士360安全卫士文件被销毁360安全卫士如何还原qq聊天记录手机360安全卫士