KillVirus

来源：赛迪网    作者：李铁军

通常，商业软件发行时，为向用户证明该程序未经篡改，会在发布版本时使用数字签名。如下图： 

通常，当一个EXE被破坏（如病毒感染或被捆绑木马），数字签名信息会丢失，从文件属性中看会发现原来数字签名标签页缺失。

但现在发现部分木马传播者采取了更巧妙的方式，一般粗略查看文件属性时，会发现该EXE文件的数字签名看上去没有异常。如下图： 

如果不小心，就会认为这个EXE完全正常，但是这个文件已经被捆绑了多个木马。在沙箱（sandboxie）中运行这个EXE，会发现该程序向windows\system32目录写入了4个dll文件，毒霸也会报告发现病毒。 

那我们该如何区分此类攻击呢？有两个方法：

1.查看数字签名的详细信息，在图1或图2中，我们应该查看该数字签名的详细信息，点击“详细信息”按钮即可。

我们会发现正常EXE和感染（或捆绑木马）后的EXE数字签名的区别：

2.使用数字签名验证程序sigcheck.exe （可以百度一下找这个工具，著名系统工具包Sysinternals Suite的组件之一，可以访问http://technet.microsoft.com/zh-cn/sysinternals/0e18b180-9b7a-4c49-8120-c47c5a693683(en-us).aspx下载。）

数字签名异常的结果为：

C:\modify.exe:
        Verified:       Unsigned
        File date:      15:46 2008-5-23
        Publisher:      n/a
        Description:    n/a
        Product:        n/a
        Version:        n/a
        File version:   n/a

数字签名正常的结果为：

C:\che.exe:
        Verified:       Signed
        Signing date:   16:28 2008-4-29
        Publisher:      n/a
        Description:    n/a
        Product:        n/a
        Version:        n/a
        File version:   n/a

原因分析：

1，精心设计的感染

当EXE被感染时，是很容易破坏文件的数字签名信息的，如果攻击者感染或破坏文件时，有意不去破坏EXE中有关数字签名的部分，就可能出现感染后，数字签名看上去正常的情况。但认真查看文件属性或校验文件的HASH值，你会发现该EXE程序已经不是最原始的版本了。

2.该软件发行商的数字签名文件被盗，攻击者可以把捆绑木马或感染病毒后的EXE程序，也打包上数字签名，这种情况下就更严重了。企业如果申请了数字签名证书，一定要妥善保管，否则后患无穷。

今天在分析由d.52hxsh.com传播的弹出unqbi.qb-qq.com广告窗口的病毒时，发现这个病毒把文件夹选项里面的"隐藏受保护的操作系统文件(推荐)"复选框干掉了，这种方式不同于以往把有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue的手段。

出现这种现象是因为有些木马把自己的属性设置成隐藏、系统属性，并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除，致使通过procexp可以在进程中看到，但去文件所在目录又找不到源文件，无法进行删除。

在仔细对比了虚拟机和正常机器上的注册表后，发现此病毒是更改了

中的两个项，从而把"隐藏受保护的操作系统文件(推荐)"的复选框从文件夹选项中隐藏起来了。

因此只需要导入本文提供的SuperHidden.reg附件即可解决问题。

另一附件SHOWALL.reg则是解决无法显示所有文件的注册表。

附件:superhidden.reg(1424 Byte)

附件:showall.reg(2400 Byte)