Windows证书管理疏漏被利用 金山证书防火墙独家率先拦截

tiejun

金山毒霸安全中心发现有病毒采用新的欺骗手段，骗过安全软件检查。病毒作者利用Windows证书管理机制存在的漏洞，给病毒木马伪造数字签名。“办{过敏}假{过敏}证”后的病毒木马可骗过某些安全软件的签名验证，金山毒霸特别发布证书防火墙应对此类攻击。

数字签名管理，是计算机网络系统中采用的一种信任机制，在电子商务和网上银行业务中应用非常广泛。比如在淘宝购物时，淘宝方面需要验证买家的数字签名，以确认这笔交易真的是买家发出，而且在交易信息传递的过程中未被篡改。在网购达人的电脑上，与电子商务、网银有关的数字证书都被Windows信任。

因为Windows的签名管理机制存在一些疏漏，有病毒作者将这些本来用于电子商务信息传递的数字证书，签发给病毒木马。一些安全软件防御机制也存在问题：并不严格检查程序的数字签名，而是见到有签名的程序就放行。就象一个很不负责任的保安，小偷拿个假{过敏}证在眼前晃一眼，保安就放行了。

“病毒作者可以绕过一些安全软件简单验证数字签名的防御机制，金山毒霸很早就放弃使用数字签名来检查文件安全性”。金山毒霸安全专家指出，“目前发现病毒用两种手段利用Windows证书管理上的漏洞：一种是病毒自己制作一个证书，导入Windows系统，再用这个证书给病毒程序签名；另一种是窃取他人合法签名，仿冒证书颁发机构。两种方法都可以骗过不负责任的保安”。

金山毒霸云安全中心监测到办{过敏}假{过敏}证的病毒木马逐渐增多，金山毒霸证书防火墙通过三层过滤，将“办{过敏}假{过敏}证”的病毒木马全部拦截：

第一层：拦截被列入黑签名的程序，一些病毒木马总是带着特定的数字签名，只须将这些数字签名列入黑名单，即可实现拦截。

第二层：拦截所有不安全的程序在Windows中导入数字证书。

第三层：采用启发式证书安全鉴定，识别伪造数字签名又被Windows系统信任的危险程序。

maomao110

多谢告知   

轻巧夺命

前两天貌似看到过这种病毒，中毒前病毒证书无效，中毒后证书就正常了。

symantec001

不错，刚看到有这个证书防火墙

expensive6688

轻巧夺命 发表于 2011-7-10 11:01
前两天貌似看到过这种病毒，中毒前病毒证书无效，中毒后证书就正常了。

把根证书加入“受信任的根证书颁发机构”就行了没有很大技术含量，代码网上有不过山山值得表扬而且主要是那些颁发机构没控制好证书的OID（增强型密钥用法）

DoctorL

跟进，很好

245867683

难道是因为360发现了腾讯拍拍网的证书漏洞受刺激了

j919766

金山不错 微创新

Tron

360主防一年前就有的功能，金山专门做个娱乐功能，真是欢乐啊

dl123100

不知道对sreng的这种行为会不会拦截