|
||||
金山毒霸安全實驗室本周截獲一廣告木馬,該病毒運行後會在用戶電腦釋放被修改的flash插件。當用戶訪問優酷youku、toudu土豆、qiyi奇藝、56我樂、QQ農場等視頻網站時,病毒會強行插入視頻廣告。並且,據金山毒霸安全實驗室分析,病毒釋放的文件采用了某知名殺毒廠商的數字簽名。
據金山毒霸安全專家介紹,這是一個被蓄意打包和正常軟件捆綁安裝的廣告木馬,來源於游戲外掛站點和小工具下載站,相對於其它木馬,顯得個頭比較大,木馬安裝包超過2.3MB。運行後會釋放正常的flash插件相關文件,同時將病毒文件XFlash1000.ocx和Flash10e.ocx也一並釋放到系統中。這兩個文件都被打上了某知名殺毒廠商的數字簽名,據金山安全實驗室核查,該簽名的確出自某殺毒廠商,而非偽造。
該病毒運行後,若用戶訪問視頻網站,病毒會強行播放視頻廣告,因病毒插入的視頻是在正常視頻的片頭及片尾展示,用戶還以為是視頻網站提供的商業廣告。而該視頻網站本來正常插入的廣告位已被木馬攻佔,眾所周知,視頻網站的流量驚人,而插播廣告正是視頻網站贏利的重要通道。病毒木馬打劫視頻廣告直接威脅視頻網站切身利益,在網頁掛馬日益困難的情況下,劫持視頻廣告可能成為病毒攻擊的新熱點。
專家介紹,數字簽名可認為是軟件的身份證,軟件發行商一般采用數字簽名標識自己的產品,以表明該軟件為本公司所有,另外也可防止軟件在分發過程中被篡改。若已簽名的軟件被病毒感染,或被不法分子篡改,文件屬性中的數字簽名信息將無效。
專家分析,該病毒具有完全正常的數字簽名,很可能是這家殺毒廠商的數字簽名管理出現漏洞,令數字簽名被非法使用。當病毒文件也能使用正常數字簽名時,會令用戶陷入危險,因一般情況下,有數字簽名的文件會被多種防御軟件識別為正常文件而放行。在Windows 7中,如果運行有正常數字簽名的程序,觸發用戶帳戶控制(UAC)對話框是正常的淡藍色,不易引發用戶注意。
金山毒霸安全專家提醒軟件業同行,數字簽名是軟件企業的核心資產,數字簽名管理不善若致引起非法使用,會對網民造成重大傷害。同時,數字簽名失竊,也會嚴重損害公司形象。部分公司出售數字簽名更是極端短視的自殺行為。同時,很多病毒作者,當前也以通過劫持數字簽名為新的攻擊方式,通過犯罪行為獲取暴利。
專家提醒網民,在電腦中搜索XFlash1000.ocx和Flash10e.ocx文件,若發現則很可能中招,直接刪除會導致用戶不能正常在線看視頻,對此,推薦用戶使用基於『可信雲安全』技術的金山毒霸2011和金山網盾3.5查殺修復,解決對應問題。