數字簽名大盜

是一款利用修改偽造系統檔案system32.exe,導致系統中桌面圖示無法刪除、系統崩潰、刪除安全軟體和瀏覽器的圖示,創建虛假的IE和淘寶網站的圖示,且將主頁修改為病毒指定的網址導航網站。

數字簽名

通俗地說,數字簽名就是一串密碼,它相當於檔案的身份證號碼,大家根據數字簽名就知道這個檔案是屬於哪家公司的,例如微軟、迅雷、騰訊等。盜用數字簽名就相當於盜用身份證號碼,可以用來冒充原來的對象。正規軟體企業出品的軟體都會帶有“數字簽名”,這相當於軟體的“身份證”。安全軟體在識別到這個“身份證”時,都會認為是正常的軟體而“放行”。這些正常的軟體啟動後,一般都會調用一些特定的功能模組。而安全軟體認為,這是“正常軟體”的調用行為,因此也不會加以阻攔。但如果這個“特定的功能模組”已經被惡意程式替換為病毒檔案,那么一個帶有正常軟體簽名的程式就可能會主動載入一個病毒檔案。

中毒現象

有一款木馬就利用了迅雷的數字簽名。該木馬,會創建一個名為“系統安全模組(停止可能會引起系統崩潰)”的開機啟動項,指向一個偽造的系統檔案“system32.exe”。由於這個偽造的檔案帶有迅雷的數字簽名,一般都能順利繞過防毒軟體的查殺,進而啟動真正的病毒檔案。最近在各大安全論壇中有很多用戶反映,下載某播放器後,運行時彈出一個提示框(圖1),然後發現桌面多出淘寶圖示,桌面上的防毒軟體圖示則莫名其妙地消失了。關注到這個現象後,我們進行了深入調查,發現是數字簽名大盜病毒在作祟——數字簽名大盜病毒是數字簽名病毒的主要代表(冒充迅雷檔案躲過防毒軟體查殺),在最近一段時間瘋狂傳播。

之所以選擇用戶量較大的軟體,並非這些軟體本身有問題,而是這樣可以減小病毒作者的開發成本。正如國外安全專家所說,一款軟體的安全性是和它的用戶量成反比的,即用戶量越大,受到攻擊的可能性越高。

為什麼防毒軟體不能有效防止這種病毒呢?因為這種病毒是利用正規軟體的數字簽名做掩護,躲過防毒軟體的查殺,是一種較新的免殺方式(主流的免殺方式是加花和加殼,它們也是防毒軟體關注的重點,雙方進行著持久的博弈)。由於方式獨特,換一個數字簽名防毒軟體就不認識了,受到病毒的垂青,在年末此類病毒大幅增加。

中毒原理

為什麼數字簽名病毒這么容易躲過防毒軟體的查殺?這要從防毒軟體的分析方式說起。防毒軟體將一些安全度較高的檔案信息添加到白名單(主要是正規的、大型的軟體公司的相關檔案),掃描的時候就不會在這些檔案上耗費太多的時間,這樣分析速度就提高了。

而數字簽名病毒正好利用了這點,披上相關軟體的數字簽名外衣(據我們了解,被利用的不僅僅是迅雷),就可以輕易地躲過防毒軟體的查殺。我們預計,防毒軟體會在未來加大對白名單中檔案的查殺力度,從而提高查殺數字簽名病毒的能力。安全專家表示,“數字簽名”是軟體企業的核心資產,如果保管不善,將對網民造成重大影響。 


數字簽名大盜病毒運行後,會先釋放病毒檔案到系統的D:\WindowsMediaPlayer\ProgramFiles目錄中,接著在註冊表的runonce啟動項下創建一個名為“系統安全模組(停止可能會引起系統崩潰)>”的啟動項,並把這個啟動項指向病毒資料夾中的system32.exe檔案(帶迅雷數字簽名),並刪除資料夾選項中的“顯示所有檔案和資料夾”選項。

當電腦重啟後,激活病毒檔案system32.exe,該檔案會載入模組XLBugHandler.dll(帶迅雷數字簽名),該模組載入後調用XLBugReport.exe病毒檔案。這時病毒檔案會刪除安全軟體和瀏覽器的圖示,創建虛假的IE和淘寶網站的圖示,且將主頁修改為病毒指定的網址導航網站。

 

應對方法

如果你發現桌面多了一些莫名其妙的圖示,而且資料夾選項裡面少了一個“顯示所有檔案和資料夾”選項,你的系統就可能中了數字簽名大盜病毒。此時你可以進入安全模式再啟動防毒軟體進行全盤防毒。

如果你有一定的安全知識,可以試著手動刪除病毒。運行進程管理工具XueTr,點擊視窗中的“啟動項”標籤,在啟動列表中選中“系統安全模組(停止可能會引起系統崩潰)”啟動項,接著點擊滑鼠右鍵,選擇選單中的“刪除(啟動信息)”命令(圖3),再選擇“檔案”標籤,右鍵點擊“D:\WindowsMediaPlayer”,選擇“強制刪除”即可。
最後,運行系統修復工具SREng,點擊左側工具列中的“系統修復”按鈕,選擇“高級修復”標籤,再點擊“自動修復”即可恢復被病毒破壞的系統。

現在重新啟動作業系統,將滑鼠移動到快捷啟動欄的IE圖示上,點擊滑鼠右鍵選擇“屬性”命令,在彈出視窗的“目標”項目中將“C:\WINDOWS\web\Index.html”刪除就徹底清除了病毒。
 

相關詞條

相關搜尋

熱門詞條

聯絡我們