可驗證的微軟“數字簽名”是木馬？

數字簽名對於驗證文件的安全性非常重要。很多反病毒軟件會檢驗文件中的數字簽名，一旦發現其簽名是有效的，就會對其放行。雖然數字簽名的簽發非常嚴格，但也並非沒有漏洞，甚至還有偽造的數字簽名魚目混珠。

　　卡巴斯基實驗室近期截獲到一種名為"偽簽名下載器"木馬（Trojan-Downloader.Win32.VB.ajfn）的惡意程序。經過分析，我們發現此木馬作者對木馬程序精心構造了偽造的微軟數字簽名。而且其偽造的簽名甚至可以通過驗證。在未感染過的計算機上，通過右鍵屬性查看木馬的數字簽名，數字簽名信息旁的圖標顯示為紅色叉號，並且顯示數字簽名無法驗證。如下圖所示：

 

　　當用戶運行木馬時，其首先會釋放提前偽造的微軟數字證書並安裝，再次查看木馬數字簽名信息時就會顯示數字簽名正常。使得木馬程序看上去就像微軟的程序一樣。如圖所示：

 

　　計算機用戶可以在運行中鍵入"certmgr.msc"查看該偽造的數字簽名，也可以將其刪除。如下圖所示：

 

　　通過上述感染手段，木馬可以躲避很多反病毒的檢測，造成大規模感染。感染完成後，木馬會偷偷連接遠程服務器，下載其他惡意程序到用戶計算機。

　　目前，卡巴斯基所有產品均可以對該木馬進行查殺。用戶只需開啟反病毒更新和實時監控即可避免被該木馬感染。卡巴斯基提醒計算機用戶，下載軟件一定要選擇官方網站等安全性可靠的網上資源，以免下載到惡意程序造成感染。