Windows證書管理疏漏被利用 金山證書防火墻獨家攔截

金山毒霸安全中心發(fā)現有病毒采用新的欺騙手段，騙過安全軟件檢查。病毒作者利用Windows證書管理機制存在的漏洞，給病毒木馬偽造數字簽名。“辦假證”后的病毒木馬可騙過某些安全軟件的簽名驗證，金山毒霸特別發(fā)布證書防火墻應對此類攻擊。

數字簽名管理，是計算機網絡系統中采用的一種信任機制，在電子商務和網上銀行業(yè)務中應用非常廣泛。比如在淘寶購物時，淘寶方面需要驗證買家的數字簽名，以確認這筆交易真的是買家發(fā)出，而且在交易信息傳遞的過程中未被篡改。在網購達人的電腦上，與電子商務、網銀有關的數字證書都被Windows信任。

因為Windows的簽名管理機制存在一些疏漏，有病毒作者將這些本來用于電子商務信息傳遞的數字證書，簽發(fā)給病毒木馬。一些安全軟件防御機制也存在問題：并不嚴格檢查程序的數字簽名，而是見到有簽名的程序就放行。就象一個很不負責任的保安，小偷拿個假證在眼前晃一眼，保安就放行了。

“病毒作者可以繞過一些安全軟件簡單驗證數字簽名的防御機制，金山毒霸很早就放棄使用數字簽名來檢查文件安全性”。金山毒霸安全專家指出，“目前發(fā)現病毒用兩種手段利用Windows證書管理上的漏洞：一種是病毒自己制作一個證書，導入Windows系統，再用這個證書給病毒程序簽名；另一種是竊取他人合法簽名，仿冒證書頒發(fā)機構。兩種方法都可以騙過不負責任的保安”。

金山毒霸云安全中心監(jiān)測到辦假證的病毒木馬逐漸增多，金山毒霸證書防火墻通過三層過濾，將“辦假證”的病毒木馬全部攔截：

第一層：攔截被列入黑簽名的程序，一些病毒木馬總是帶著特定的數字簽名，只須將這些數字簽名列入黑名單，即可實現攔截。

第二層：攔截所有不安全的程序在Windows中導入數字證書。

第三層：采用啟發(fā)式證書安全鑒定，識別偽造數字簽名又被Windows系統信任的危險程序。