小心!這個木馬偷了網易的身份證 還能遠端控制你的電腦
換身份是諜戰片、警匪片中常見的橋段,想要躲避追捕的主角或配角,從黑市買來一套新的身份,改頭換面逃之夭夭。而現實生活中,擁有這種偷天換日本事的東西,可能就潛伏在你電腦中!日前,360安全中心監測到有款遠控木馬試圖借用 “網易”官方簽名躲避查殺,大肆傳播。
程式的身份證:數字簽名
“數字簽名”實際上就相當於一個程式的身份證,指可以新增到檔案的電子安全標記。使用它可以驗證檔案的釋出者以及幫助驗證檔案自被數字簽名後是否發生更改。如果檔案沒有有效的數字簽名,則無法確保該檔案確實來自它所聲稱的源,或者無法確保它在釋出後未被篡改。
基於正規廠商和使用者之間的信任關係,以及廠商和廠商間的信任關係,大部分安全廠商對有數字簽名和正規身份的程式預設是信任的。而不法分子就是盯上了針對這一信任關係,打起了數字簽名的主意。
惡意程式盜用網易的數字簽名
套牌身份證:躲避查殺
360安全中心分析發現,本次捕獲的木馬,除了數字簽名是真真切切的“網易”公司官方簽名外,程式的外貌特徵上面也做了一些掩飾,比如程式圖示故意做成了IE瀏覽器的圖示,檔案版本資訊偽裝成了XShell軟體的程式版本,此外檔名還取為“xitongjihuo”(系統啟用)。也就是,這款木馬用了一張人畜無害的臉,起了個安全的名字,還有一張良民的身份證,靠給自己打造一套可靠的身份,躲避追捕。
不法分子針對軟體數字簽名進行攻擊,不僅成功對使用者發動了攻擊,還對廠商的信譽造成了損害。基於對軟體廠商的信任,使用者下載軟體中招,攻擊得到廣泛傳播;同時有“身份證”的木馬病毒,短時間內不易被安全軟體查殺。
惡意程式全面偽裝
更可怕的是,該木馬還是一款遠控木馬,執行之後可以開啟使用者的遠端桌面連線,直接操控電腦,可以做任何想做的事情。比如直接在電腦上安裝解除安裝軟體,讀取電腦裡的檔案內容,登入社交軟體等等,一旦中招,也就意味著你的電腦就完全被控制了。
360安全專家介紹,目前針對數字簽名方面的攻擊方式多種多樣,主要分為簽名盜用類、簽名冒用類、簽名仿冒類和簽名過期類,這些攻擊方式目的在於混淆視聽,躲避安全軟體查殺,進而感染使用者電腦作惡。
層出不窮的惡意簽名樣本在網路中傳播,嚴重危害終端系統安全。攻擊者的攻擊覆蓋軟體的整個生命週期,無孔不入防不勝防。專家建議使用者及時使用360安全衛士查殺此類木馬,保護電腦及個人資訊保安。