上周西部数据建议 My Book Live 存储设备客户立即断开设备的网络连接，起因是用户报告设备中储存的数据全部被清空。受影响的型号为 My Book Live 和 Live Duo，西部数据在 2015 年停止销售该型号产品，最后一次固件更新是在 2015 年释出的。现在西部数据判断是远程安装的木马抹掉了 My Book 设备中的数据。攻击者利用一个远程命令执行漏洞直接访问或通过端口转发访问了相关联网设备，安装了文件名为 .nttpd,1-ppc-be-t1-z 的木马，它是一个 Linux ELF 二进制文件，编译运行在 My Book Live 和 Live Duo 使用的 PowerPC 架构上。西部数据的调查没有发现它的云服务、固件更新服务器等遭到入侵的证据。

微软的代码签名流程能被攻击者的利用。G Data 的安全研究人员本月早些时候收到了一个可能的误报：由微软签名的 NetFilter 驱动程序。从 Windows Vista 开始，在内核模式中运行的任何代码在公开发布前都需要经过微软的测试和签名，以确保操作系统的稳定性。没有微软签名的驱动程序默认是无法安装的。但安全研究人员在仔细分析后发现，Netfilter 是一个 rootkit 恶意程序，能自我更新和向攻击者的 IP 发送信息。WHOIS 查询显示，该 IP 地址属于宁波卓智创新网络科技有限公司。微软表示正在调查这起事件，它称攻击者通过 Windows Hardware Compatibility Program 项目递交驱动签名，它已经吊销了递交者的账号，评估其递交寻找恶意程序的其它信号。该恶意程序针对的是中国地区的游戏玩家。