Nick Lewis(CISSP，GCWN))是一名信息安全分析師。他主要負責風險管理項目，并支持該項目的技術PCI法規(guī)遵從計劃。2002年，Nick獲得密歇根州立大學的電信理學碩士學位;2005年，又獲得Norwich大學的信息安全保障理學碩士學位。在他09年加入目前的組織之前，Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學院初級兒科教學醫(yī)院，以及Internet2和密歇根州立大學工作。

[[122357]]

報道稱Zeus又回來了，這次它還有自己真實的數(shù)字證書。那么該如何檢測出具有看似真實證書的木馬程序呢?

Nick Lewis：公共密鑰基礎設施在設計時考慮了多個安全功能，這些功能讓終端實體來決定自己的信任。也就是說，在這個系統(tǒng)中，如果證書被感染，證書頒發(fā)機構(CA)發(fā)布的數(shù)字證書會被撤銷，或者證書頒發(fā)機構可能被吊銷發(fā)放證書的資格。

Netscape在提高其Web瀏覽器的電子商務取得了顯著的進步，CA證書被捆綁在Web瀏覽器來支持新的SSL協(xié)議。雖然這種做法將系統(tǒng)設置為在默認情況下信任這些CA，一個最大的問題是，任何CA都可以發(fā)布任何名稱的證書。例如，www.google.com可以由惡意CA簽名，仍然看起來像是合法的www.google.com網(wǎng)頁。

Zeus變體使用的真實數(shù)字證書被合法CA分配到合法軟件公司，但這并不能保護終端免受攻擊。當該CA吊銷該證書(防止某些系統(tǒng)信任這個簽名的惡意軟件)時，大多數(shù)系統(tǒng)沒有檢查撤銷情況，這里原因有很多(例如，Web瀏覽器、操作系統(tǒng)或其他應用在默認情況下沒有啟用該功能)，而淪為這個假證書和惡意軟件的受害者。

企業(yè)可以在安裝軟件之前，檢查已簽名軟件的證書吊銷情況，從而檢測出看似真實的證書是否為假證書。企業(yè)還可以檢查通過HTTP下載的每個文件，看看文件是否由已吊銷證書簽名，然而可以阻止下載。另外，企業(yè)可以檢查本地系統(tǒng)的每個文件以確定文件是否由已吊銷證書簽名，如果發(fā)現(xiàn)由已吊銷證書簽名的文件，應該調(diào)查該文件所在系統(tǒng)。