AVG：病毒伪造数字签名小心“淘宝返现”陷阱

　　　随着淘宝网购的越来越普及，“淘宝返现”的网站也越来越多。这里所说的“淘宝返现”，是指有些网站商家，只要你通过他们提供的入口来购买淘宝上的产品，你就能享受一定的折扣，或者返还给你一定的现金。

　　可是，天下没有免费的午餐，“淘宝返现”真的都有这么好吗？

　　近日，AVG中国病毒实验室就截获到一种暗地“用户返现”的病毒。只要中了该病毒，用户在淘宝上买东西时，这种病毒就根据用户当前购买的产品信息，重新构造一个新的链接，这个新的链接不影响用户的正常购买流程，但却会以病毒制造者的推广名义来购买。这样，病毒制造者就牟取了一定的利益。经过AVG病毒分析师的研究，这个病毒制造者居然出自一家“淘宝返现”网站。

　　这个病毒重定向用户访问的淘宝链接的方式是在IE浏览器里安装了一个ActiveX控件。

　　我们知道，安装合法的ActiveX控件是需要数字签名的。病毒怎么能获得合法数字签名呢？

　　病毒用的是免费证书来给自己签名。病毒先从www.CA365.com上获得免费的数字证书。CA365提供的免费证书当中有一种“代码签名证书”。下载该证书在本地安装后，经过证书之间的一系列转换，就可以给自己的控件签名了。

　　所以病毒在本地执行的时候，首先释放了一个cer证书，并导入到IE浏览器，用来保证释放的控件的签名被识别为合法。

　　释放证书：

　　导入证书：

　　然后病毒就释放恶意的ActiveX控件，并调用Regsrv注册控件：

　　这时我们可以看看病毒的数字签名：

　　这时，恶意的ActiveX控件已经成功安装了。我们打开一个淘宝产品链接看看：

　　我们看到，我们已经被自动重定向到了一个非淘宝的页面（为了保护用户的利益，在发稿之前我们已经做了安全处理，所以此网站已经无法访问）。而实际上这个页面会继续把用户重定向到淘宝的相应产品的页面，只不过已经是个新构造的链接，而这个链接会以添加病毒作者的推广信息。所以说，用户在被病毒偷偷地以病毒作者的身份进行“淘宝返现”购买商品了。

　　重新组合淘宝链接代码：

　　此外，该病毒还有升级功能：

　　目前该病毒已经被AVG检测为Clicker。

　　这里，AVG不得不建议热衷于网购的朋友们，网购的时候千万要带好“安全保镖”，及时更新的您安全软件的病毒库，定时查杀，以免在不知不觉中遭到损失。