过期签名泄漏 传奇归来国际版签发Killis木马可绕过查杀

不同于以往，本次爆发的Killis等木马，拥有完整的数字签名。据安全专家解释，数字签名相当于软件的“身份证”，用来表示软件的版权信息，同时证明该软件在发行的过程中未被篡改。拥有数字签名的木马，将很容易的躲避反病毒软件的监测。

数据显示，国内已有二十余家下载网站遭到Killis等拥有数字签名的木马的毒手，覆盖了几乎所有的知名下载站。测试显示，木马在进入电脑后，将借用“传奇霸业”等游戏客户端作为外壳，来迷惑受害用户。该木马在运行后，除了静默下载大量垃圾软件，还能远程控制并安装软件、插件，放置、修改桌面快捷方式，修改桌面图标，关闭进程等等。

对于此类拥有正规签名的木马程序，安全专家建议，下载软件时一定要选择官方网站等安全可靠的网上资源，以免下载到恶意程序造成感染。怀疑电脑已经中招的用户，则应该尽快使用360安全卫士等软件，对电脑进行全盘扫描，找到潜伏在硬盘深处、伺机作恶的高危木马。

截至目前，360安全中心已监测到32个过期的企业签名样本被盗用。安全专家介绍：“过期签名被盗用后，此前利用该签名进行加密通信的内容将会被解密，造成信息泄漏、伪造数据等情况出现，危害严重。”

图：使用过期签名的木马被拦截

虽然暂时发现的Killis等木马，使用的是过期的企业签名，危害程度不及有效时间内的签名泄漏，但其负面影响仍不可小觑。如果在下载运行木马前对系统时间进行修改，数字签名将仍然被判定为有效，拥有改签名的木马可以直接通过系统的各类检测，与正规软件无异。

近日，一款名为Killis的木马在国内多家下载站间流传。该木马携带正规数字签名，隐蔽性极高，很多杀软无法将其识别。安全专家分析，这是由于该木马团伙盗用了过期的企业签名，能够绕过甚至破坏市面上绝大多数的主流安全软件。且此类拥有正规签名的木马，并不局限于Killis一款。目前，传奇归来私服，360安全卫士已实现对该类木马的查杀。