|
||||
11月26日消息,金山網絡安全中心發布安全預警,一款名為『數字簽名大盜』的木馬正在網上肆虐,目前已有超過3萬用戶被感染。該木馬會偽裝成某些大型軟件的一個功能模塊,並隨著正常軟件的啟動而運行。由於這些木馬病毒將帶有數字簽名的正常程序當做了啟動『跳板』,安全軟件大多都會『放行』。用戶一旦中招,將遭遇『瀏覽器主頁被劫持』『桌面圖標無法刪除』等狀況。目前,永久免費的金山衛士可以有效攔截『數字簽名大盜』木馬的運行。
金山網絡安全工程師李鐵軍介紹說,正規軟件企業出品的軟件都會帶有『數字簽名』,這相當於軟件的『身份證』。安全軟件在識別到這個『身份證』時,都會認為是正常的軟件而『放行』。這些正常的軟件啟動後,一般都會調用一些特定的功能模塊。而安全軟件認為,這是『正常軟件』的調用行為,因此也不會加以阻攔。但如果這個『特定的功能模塊』已經被惡意程序替換為病毒文件,那麼一個帶有正常軟件簽名的程序就可能會主動加載一個病毒文件。
其中,有一款木馬就利用了迅雷的數字簽名。該木馬,會創建一個名為『系統安全模塊(停止可能會引起系統崩潰)』的開機啟動項,指向一個偽造的系統文件『system32.exe』。由於這個偽造的文件帶有迅雷的數字簽名,一般都能順利繞過殺毒軟件的查殺,進而啟動真正的病毒文件。
李鐵軍表示,之所以選擇用戶量較大的軟件,並非這些軟件本身有問題,而是這樣可以減小病毒作者的開發成本。正如國外安全專家所說,一款軟件的安全性是和它的用戶量成反比的,即用戶量越大,受到攻擊的可能性越高。
據報道,近期利用正常軟件的『數字簽名』以繞過殺毒軟件查殺的木馬病毒呈上昇趨勢。今年7月爆發的『LNK圖標漏洞』木馬就利用了某款知名聲卡廠商的數字簽名。金山網絡安全專家表示,『數字簽名』是軟件企業的核心資產,如果保管不善,將對網民造成重大影響;網民也應該提高安全意識,安裝金山衛士、金山毒霸等永久免費的安全產品以保護電腦安全。