国家计算机病毒应急处理中心通过对互联网的监测发现,一种利用仿冒数字签名技术编写的恶意木马程序出现。
我们分析发现,这类恶意木马程序主要有以下两种利用签名的方式:
一、恶意木马程序伪装成图片或者流行私服
恶意木马程序作者首先利用聊天工具给不同的人发送文件,由于文件具有知名公司签名,并且使用了诱惑性的文件名及图标,计算机用户很容易在毫不知情的情况下点击感染。与此同时,恶意木马程序也会伪装成流行私服的功能模块进行传播,其隐蔽性比较高。
二、恶意木马程序冒用知名厂商的数字签名
目前,签名审核机制不完善,恶意木马程序作者可以通过某些途径获取知名公司签名。在签发的已知证书中少部分证书已被吊销,但大部分的签名依然有效。
另外,这类恶意木马程序采用大量混淆代码,并在内存中执行,调用内存函数,初始网络连接,然后再调用导出函数执行后续恶意行为。密;
专家提醒:
针对这种情况,国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施:
(一)针对已经感该类染该恶意木马程序变种的计算机用户,我们建议立即升级系统中的防病毒软件,进行全面杀毒。
(二)针对未感染该类恶意木马程序变种的计算机用户,我们建议打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动,达到全方位保护计算机系统安全的目的。
联系方式:
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心