国家计算机病毒应急处理中心

病毒预报第七百零六期（2016.10.22-2016.10.28）

国家计算机病毒应急处理中心通过对互联网的监测发现，一种冒用数字签名的新型恶意木马程序出现。

我们分析发现，该恶意木马程序运行后，自动加载一个具有过期数字签名的驱动程序，其主要功能如下：

一、添加注册表可信任的根证书颁发者，伪造可信证书，使其伪造证书签发的恶意程序的数字签名被验证有效；

二、修改注册表相关键值项，阻止防病毒软件驱动的加载，并实现开机自启动；

三、过滤浏览器IE和主流防病毒软件的进程，阻止其加载安全软件的动态链接库DLL文件。

另外，该恶意木马程序使用过期的数字签名证书，导致系统验证数字签名时提示无效。如果系统时间被修改到有效时间内，数字签名校验就会显示正常。由于该恶意木马程序使用了过期的数字签名，通过加载驱动程序修改系统根证书信任区，并在注入系统进程后检查系统证书库，其目的都是为了利用数字签名来逃避防病毒软件的查杀。

专家提醒：

针对这种情况，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

（一）针对已经感染该恶意木马程序的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。

（二）针对未感染该恶意木马程序的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心