卡巴截获伪造微软签名病毒。主动防御那两项要取消

显示全部楼层 · 发表于 2011-6-22 18:57:13

数字签名对于验证文件的安全性非常重要。很多反病毒软件会检验文件中的数字签名，一旦发现其签名是有效的，就会对其放行。虽然数字签名的签发非常严格，但也并非没有漏洞，甚至还有伪造的数字签名鱼目混珠。

　　卡巴斯基实验室近期截获到一种名为“伪签名下载器”木马(Trojan-Downloader.Win32.VB.ajfn)的恶意程序。经过分析，我们发现此木马作者对木马程序精心构造了伪造的微软数字签名。而且其伪造的签名甚至可以通过验证。在未感染过的计算机上，通过右键属性查看木马的数字签名，数字签名信息旁的图标显示为红色叉号，并且显示数字签名无法验证。如下图所示：

有人说早就此类病毒了

卡巴主动防御那两项的默认勾选要坚决取消，如图，最后一道防线

显示全部楼层 · 发表于 2011-6-22 19:28:17

取消第一个应该就可以了啊

显示全部楼层 · 发表于 2011-6-22 19:54:12

本帖最后由 Wesly.Zhang 于 2011-6-22 19:55 编辑

您好，

该恶意程序在运行前数字签名是无效的，只不过恶意程序在运行后在微软的“数字签名”验证堆中注册了一个虚假的数字签名后，第二次运行该恶意程序时才会被系统认证为有效的。首次运行时主动防御组件会有提示，若该恶意程序表现出恶意行为触发主动防御规则的话。

是有先后的，不是一上来就是一个带有有效的数字签名的恶意程序。所以楼主完全不必禁用两个选项。

实际上遇到带有数字签名的恶意程序根本没有任何比例，可能几万分之一的可能。截止到目前位置，我还没有主动找到过这种恶意程序。

显示全部楼层 · 发表于 2011-6-22 20:04:01

沒遇过这种恶意程序

显示全部楼层 · 发表于 2011-6-22 20:34:53

同意2L，至于3楼所说，是第一次看到，长知识了...

显示全部楼层 · 发表于 2011-6-22 20:37:33

Wesly.Zhang 发表于 2011-6-22 19:54
您好，

该恶意程序在运行前数字签名是无效的，只不过恶意程序在运行后在微软的“数字签名”验证堆中注册 ...

可是windows驱动是无法用自签名证书的啊

显示全部楼层 · 发表于 2011-6-22 20:40:29

了解和学习下。

显示全部楼层 · 发表于 2011-6-22 20:45:38

Wesly.Zhang 发表于 2011-6-22 19:54
您好，

该恶意程序在运行前数字签名是无效的，只不过恶意程序在运行后在微软的“数字签名”验证堆中注册 ...

卡巴论坛的官人也来卡饭，哈哈～

显示全部楼层 · 发表于 2011-6-22 21:19:41

去掉图中的第一个勾就行了。

显示全部楼层 · 发表于 2011-6-22 21:34:28

卡饭，卡巴主动防御那两项的去掉

卡巴截获伪造微软签名病毒。主动防御那两项要取消

评分