揭秘首例数字签名免杀

安全维护

2010年1月4日 第1期

几天前，我们收到一封读者来信，请我们帮他解答一个疑问。这位读者在网上看到一则新闻，说有一款名为执照凶手的恶性木马下载者，在大规模爆发数天之内侵袭了近百万台电脑。

安全小百科>>

执照凶手病毒通过感染QQ和迅雷等常用软件实现强行启动，具备很强的生存能力。它会弹出各式各样的网页，例如电影网页、成人用品网页等，还会下载盗号木马，伺机盗取用户的个人账号和密码。

新闻说，该木马首次采用了真实的数字签名进行“免杀”， 在国内尚属首例，能突破几乎所有杀毒软件的防护。该读者曾经碰到过伪造数字签名的病毒，对“国内尚属首例”的说法表示怀疑。

接到来信后，我们进行了深入调查，发现该读者的质疑是很有道理的。据我们所知，病毒要获取真实的数字签名，根本不是难事，一些黑客软件就可以实现，例如使用数字签名添加器（见图），可以很方便地克隆真实的数字签名，不管是微软的数字签名，还是软件的数字签名，都可以搞定。

安全小百科>>

什么是数字签名？大家可以把它理解为一张身份证，有了这张身份证，就知道文件是属于哪个软件厂商的。为了避免误杀正常文件，杀毒软件一般对有数字签名的文件“关注”较少。

我们认为，盗取数字签名这种现象根本不新鲜，存在已经很久了，而且这种病毒也有破解的方法，例如使用文件数字签名验证工具、利用特征码查杀。我们认为，避免中此类病毒最好的方法是做好安全防护，让病毒进不来，例如使用带网页木马拦截功能的安全辅助工具。

你想在线举报恶意网站吗？你想要小编在线帮你鉴定恶意网站吗？你想跟广大网友一起声讨恶意网站吗？登录http://hd.shudoo.com/f/bb，发帖吧！

挂马网站验证

HOSTS反黑文件下载

最新版本：2010.1.4

文件大小：53KB

累计拦截次数：3656801

（截至2010年1月4日）

全球唯一下载地址：

http://hd.shudoo.com/f/bb

使用方法：解压后将HOSTS文件直接覆盖至C:\Windows\System32\Drivers\Etc即可。为防止某些恶意网站或病毒窜改HOSTS，请确保此文件属性为“只读”。

新收录的恶意网站

赌博网站：2个

钓鱼网站：15个

色情淫秽网站：7个

恶意下载网站：6个

传播病毒网站：111个

HOSTS反黑文件上周一共拦截了82047次，我们对所有拦截数据进行了分析，发现拦截得较多的是色情网站、被恶意推广的导航网站、QQ中奖骗局等。

最受关注的举报

我举报的是假冒淘宝的网站http://pop.taonbao.com.cn，我是通过某个论坛的链接进入该网站的，进入之后，我就发觉不对，这个所谓的淘宝网站跟我熟悉的淘宝网站合不上。把链接发给朋友帮忙看看，得知该网站被安全辅助工具认定为欺诈网站。

朋友仔细检查了该网站，发现了其中的破绽，域名中间是taonbao，多了一个“n”，真正的淘宝网站域名是taobao。还好我的直觉灵敏，要不然就上了网站诈骗分子的当了。

举报网站鉴定

鉴定信息：我的邮箱中收到推荐http://av-dvd.rz-net.com/avtv的邮件，看网站域名怀疑是色情网站，不知道我猜得对不对，该网站是不是有危险？

陈邓新分析：你猜的没有错，该网站的确是色情网站，此类网站一直是病毒传播的主要阵地，如果访问就有可能中毒。

鉴定结果：不安全