國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn)，一種冒用數(shù)字簽名的新型惡意木馬程序出現(xiàn)。

我們分析發(fā)現(xiàn)，該惡意木馬程序運(yùn)行后，自動(dòng)加載一個(gè)具有過(guò)期數(shù)字簽名的驅(qū)動(dòng)程序，其主要功能如下：

一、添加注冊(cè)表可信任的根證書頒發(fā)者，偽造可信證書，使其偽造證書簽發(fā)的惡意程序的數(shù)字簽名被驗(yàn)證有效；

二、修改注冊(cè)表相關(guān)鍵值項(xiàng)，阻止防病毒軟件驅(qū)動(dòng)的加載，并實(shí)現(xiàn)開機(jī)自啟動(dòng)；

三、過(guò)濾瀏覽器IE和主流防病毒軟件的進(jìn)程，阻止其加載安全軟件的動(dòng)態(tài)鏈接庫(kù)DLL文件。

另外，該惡意木馬程序使用過(guò)期的數(shù)字簽名證書，導(dǎo)致系統(tǒng)驗(yàn)證數(shù)字簽名時(shí)提示無(wú)效。如果系統(tǒng)時(shí)間被修改到有效時(shí)間內(nèi)，數(shù)字簽名校驗(yàn)就會(huì)顯示正常。由于該惡意木馬程序使用了過(guò)期的數(shù)字簽名，通過(guò)加載驅(qū)動(dòng)程序修改系統(tǒng)根證書信任區(qū)，并在注入系統(tǒng)進(jìn)程后檢查系統(tǒng)證書庫(kù)，其目的都是為了利用數(shù)字簽名來(lái)逃避防病毒軟件的查殺。

專家提醒：

針對(duì)這種情況，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心建議廣大計(jì)算機(jī)用戶采取如下防范措施：

（一）針對(duì)已經(jīng)感染該惡意木馬程序的計(jì)算機(jī)用戶，我們建議立即升級(jí)系統(tǒng)中的防病毒軟件，進(jìn)行全面殺毒。

（二）針對(duì)未感染該惡意木馬程序的計(jì)算機(jī)用戶，我們建議打開系統(tǒng)中防病毒軟件的“系統(tǒng)監(jiān)控”功能，從注冊(cè)表、系統(tǒng)進(jìn)程、內(nèi)存、網(wǎng)絡(luò)等多方面對(duì)各種操作進(jìn)行主動(dòng)防御，這樣可以第一時(shí)間監(jiān)控未知病毒的入侵活動(dòng)，達(dá)到全方位保護(hù)計(jì)算機(jī)系統(tǒng)安全的目的。