广告木马盗杀毒厂商数字签名 视频网站流量惨遭劫持

[align=left]金山毒霸安全实验室本周截获一广告木马，该病毒运行后会在用户电脑释放被修改的flash插件。当用户访问优酷youku、toudu土豆、qiyi奇艺、56我 乐、QQ农场等视频网站时，病毒会强行插入视频广告。并且，据金山毒霸安全实验室分析，病毒释放的文件采用了某知名杀毒厂商的数字签名。[/align]据金山毒霸安全实验室介绍，这是一个被蓄意打包和正常软件捆绑安装的广告木马，来源于游戏外挂站点和小工具下载站，相对于其它木马，显得个头比较大，木马安装包超过2.3MB。运行后会释放正常的flash插件相 关文件，同时将病毒文件XFlash1000.ocx和Flash10e.ocx也一并释放到系统中。这两个文件都被打上了某知名杀毒厂商的数字签 名，据金山安全实验室核查，该签名的确出自某杀毒厂商，而非伪造。

[align=left]该病毒运行后，若用户访问视频网站，病毒会强行播放视频广告，因病毒插入的视频是在正常视频的片头及片尾展示，用户还以为是视频网站提供的商业广告，而该视频网站本来正常插入的广告位已被木马攻占。众所周知，视频网站的流量惊人，而插播广告正是视频网站赢利的重要通道。病毒木马打劫视频广告直接威胁视频网站切身利益，在网页挂马日益困难的情况下，劫持视频广告可能成为病毒攻击的新热点。[/align]



[align=left]数字签名可认为是软件的身份证，软件发行商一般采用数字签名标识自己的产品，以表明该软件为本公司所有，另外也可防止 软件在分发过程中被篡改。若已签名的软件被病毒感染，或被不法分子篡改，文件属性中的数字签名信息将无效。金山毒霸安全专家分析，该病毒具有完全正常的数 字签名，很可能是这家杀毒厂商的数字签名管理出现漏洞，令数字签名被非法使用。当病毒文件也能使用正常数 字签名时，会令用户陷入危险，因一般情况下，有数字签名的文件会被多种防御软件识别为正常文件而放行。在Windows 7中，如果运行有正常数字签名的程序，触发用户帐户控制（UAC）对话框是正常的淡蓝色，不易引发用户注意。

金山毒霸安全实验室提醒软件业同行，数字签名是软件企业的核心资产，数字签名管理不善若致引起非 法使用，会对网民造成重大伤害。同时，数字签名失窃，也会严重损害公司形象。部分公司出售数字签名更是极端短视的自杀行为。

提醒网民在电脑中搜索XFlash1000.ocx和Flash10e.ocx文件，若发现则很可能中招，直接删除会导致用户不能正常在线看视频，推荐访问http://www.duba.net，下载安装金 山毒霸2011或金山网盾3.5查杀修复。[/align]