您当前的位置: 首页 > 健康

被攻陷的数字签名木马冒用知名公司身份证作iyiou.com

2019-03-11 14:40:00

被攻陷的数字签名:木马冒用知名公司“身份证”作案

程序的数字签名相当于人类的身份证,一旦有知名企业的数字签名被木马利用,它就会披上合法的外衣,具有极强的隐蔽性,赫赫有名的震病毒(Stuxnet)就是盗用了IT企业的别等到无能为力数字签名进行伪装。在国内,近期360安全卫士也捕获到一批具有知名络公司数字签名的木马,为了阻止此类木马进一步泛滥,同时也为了提醒其他安全厂商,

360安全卫士的白名单分析组对本次事件进行了深入调查。

一、 带知名公司签名的木马

以下是360安全卫士捕获的某知名络公司数字签名的木马:

我们对木马线索进行了持续的关注与追踪,其大概的更新时间线如下:

二、 伪造签名木马主要证书

以下是目前为止捕获到的伪造知名公司签发木马的证书:

三、 木马行为

带有知名公司签名的木马,不但利用了正规的数字签名,还进行了白文件利用,手段非常老练和成熟:

安装包在d:\windows目录下释放两个文件

e是TX白签名文件

l是暴风黑签名文件

通过TX文件的白利用,e调用l中的导出函数G_SAEF

创建傀儡进程

注入代码到e中

设置傀儡进程EIP

在内存中执行木马程序。

以下就是整个流程:

四、 防护措施

对于此类的利用审核机构审核不严格,伪造正规公司资料骗取合法签名并且签发的木马,360杀毒和安全卫士时间进行了查杀。用户只要开启360安全产品就可以防范此类木马。

声明:本文仅为传递更多络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。

2010年温州教育综合E轮企业
文创资讯-文创资讯头条新闻资讯
2010年厦门体育B轮企业
推荐阅读
图文聚焦