數(shù)字簽名對于驗(yàn)證文件的安全性非常重要。很多反病毒軟件會檢驗(yàn)文件中的數(shù)字簽名，一旦發(fā)現(xiàn)其簽名是有效的，就會對其放行。雖然數(shù)字簽名的簽發(fā)非常嚴(yán)格，但也并非沒有漏洞，甚至還有偽造的數(shù)字簽名魚目混珠。

卡巴斯基實(shí)驗(yàn)室近期截獲到一種名為"偽簽名下載器"木馬（Trojan-Downloader.Win32.VB.ajfn）的惡意程序。經(jīng)過分析，我們發(fā)現(xiàn)此木馬作者對木馬程序精心構(gòu)造了偽造的微軟數(shù)字簽名。而且其偽造的簽名甚至可以通過驗(yàn)證。在未感染過的計(jì)算機(jī)上，通過右鍵屬性查看木馬的數(shù)字簽名，數(shù)字簽名信息旁的圖標(biāo)顯示為紅色叉號，并且顯示數(shù)字簽名無法驗(yàn)證。如下圖所示：

當(dāng)用戶運(yùn)行木馬時(shí)，其首先會釋放提前偽造的微軟數(shù)字證書并安裝，再次查看木馬數(shù)字簽名信息時(shí)就會顯示數(shù)字簽名正常。使得木馬程序看上去就像微軟的程序一樣。如圖所示：

計(jì)算機(jī)用戶可以在運(yùn)行中鍵入"certmgr.msc"查看該偽造的數(shù)字簽名，也可以將其刪除。如下圖所示：

 通過上述感染手段，木馬可以躲避很多反病毒的檢測，造成大規(guī)模感染。感染完成后，木馬會偷偷連接遠(yuǎn)程服務(wù)器，下載其他惡意程序到用戶計(jì)算機(jī)。

目前，卡巴斯基所有產(chǎn)品均可以對該木馬進(jìn)行查殺。用戶只需開啟反病毒更新和實(shí)時(shí)監(jiān)控即可避免被該木馬感染?？ò退够嵝延?jì)算機(jī)用戶，下載軟件一定要選擇官方網(wǎng)站等安全性可靠的網(wǎng)上資源，以免下載到惡意程序造成感染。