Desde los tiempos de Windows Vista. Microsoft requiere probar y firmar los drivers a instalar en sus sistemas para garantizar la seguridad de los mismos.

Sin embargo, según han informado, debido a un falso positivo, han detectado un controlador que estaba firmado por Microsoft y que se ejecutaba a nivel de Kernel.

Las caracteristicas de este Rootkit:

• Contiene cadenas ofuscadas y cifradas.
• Se redirige a una lista de direcciones IP específicas (mayortiatarianente chinas).
• Contiene una rutina de actualización automática que envía su propio hash MD5 al servidor y a continuación, el servidor responde con la URL de la muestra más reciente o con OK si la muestra está actualizada. El malware reemplaza su propio archivo en consecuencia.
• El rootkit recibe un certificado raíz y lo escribe en «\Registry\Machine\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\«

Aunque algunos se preguntan del porqué de la necesidad de firma por parte de Microsoft si se cuela «malware» ellos le han querido quitar importancia a este fallo (que investigarán) diciendo que «el posible efecto se limitaría a la industria de los juegos, especialmente en China » y que «el malware le permite obtener una ventaja en los juegos y posiblemente explotar a otros jugadores al comprometer sus cuentas a traves de herramientas comunes como keyloggers.