换身份是谍战片、警匪片中常见的桥段,想要躲避追捕的主角或配角,从黑市买来一套新的身份,改头换面逃之夭夭。而现实生活中,拥有这种偷天换日本事的东西,可能就潜伏在你电脑中!日前,360安全中心监测到有款远控木马试图借用 “网易”官方签名躲避查杀,大肆传播,360安全卫士已经可以查杀这类木马。
程序的身份证:数字签名
“数字签名”实际上就相当于一个程序的身份证,指可以添加到文件的电子安全标记。使用它可以验证文件的发布者以及帮助验证文件自被数字签名后是否发生更改。如果文件没有有效的数字签名,则无法确保该文件确实来自它所声称的源,或者无法确保它在发布后未被篡改。
基于正规厂商和用户之间的信任关系,以及厂商和厂商间的信任关系,大部分安全厂商对有数字签名和正规身份的程序默认是信任的。而不法分子就是盯上了针对这一信任关系,打起了数字签名的主意。
恶意程序盗用网易的数字签名
套牌身份证:躲避查杀
360安全中心分析发现,本次捕获的木马,除了数字签名是真真切切的“网易”公司官方签名外,程序的外貌特征上面也做了一些掩饰,比如程序图标故意做成了IE浏览器的图标,文件版本信息伪装成了XShell软件的程序版本,此外文件名还取为“xitongjihuo”(系统激活)。也就是,这款木马用了一张人畜无害的脸,起了个安全的名字,还有一张良民的身份证,靠给自己打造一套可靠的身份,躲避追捕。
不法分子针对软件数字签名进行攻击,不仅成功对用户发动了攻击,还对厂商的信誉造成了损害。基于对软件厂商的信任,用户下载软件中招,攻击得到广泛传播;同时有“身份证”的木马病毒,短时间内不易被安全软件查杀。
恶意程序全面伪装
更可怕的是,该木马还是一款远控木马,运行之后可以打开用户的远程桌面连接,直接操控电脑,可以做任何想做的事情。比如直接在电脑上安装卸载软件,读取电脑里的文件内容,登录社交软件等等,一旦中招,也就意味着你的电脑就完全被控制了。
360安全专家介绍,目前针对数字签名方面的攻击方式多种多样,主要分为签名盗用类、签名冒用类、签名仿冒类和签名过期类,这些攻击方式目的在于混淆视听,躲避安全软件查杀,进而感染用户电脑作恶。
层出不穷的恶意签名样本在网络中传播,严重危害终端系统安全。攻击者的攻击覆盖软件的整个生命周期,无孔不入防不胜防。专家建议用户及时使用360安全卫士查杀此类木马,保护电脑及个人信息安全。