虚假可信根证书木马处理

你是否遇到使用加密狗，出现不管用什么浏览器访问站点CA证书都没办法弹出选择的情况。你可能怀疑是驱动问题，当然这也是可能原因之一。还有一种可能是中了木马，以下是分析与处理过程。

确定木马表现

访问任一https的网站，打开查看网站CA证书颁发者（见参考图）。如果发现都是同一个可疑证书颁发者(在小编机器都是GlobalSignature Certiflcates CA 2)的话，说明被虚拟根证书拦截。表现机器已有木马。

 

图一

 

图二

虚假根证书仿冒知名证书颁发机构的现象。攻击者利用根证书字段伪装为知名权威认证机构，有利于逃逸安全厂商检测。目前，据统计此类安全威胁已影响超过270万台终端设备。此外，数据显示，虚假根证书签发了大量知名域名的数字证书。而由于其已被广泛植入本地信任列表，终端设备对此类非法证书几乎不会产生任何告警信息。木马用这种手段来获取返利回报，只要有流量推广，都会成为木马的劫持目标。

你可能觉得在certmgr.msc证书管理工具删除相关证书可以解决问题，但是重启系统后，情况又出现了。那么你可以试试按下面方式处理。

如何处理

从个人用户，只能借助安全软件进行处理，好在已有软件可以依靠。以下是使用火绒安全软件的产品进行处理，在这声明，这里只是举例说明，不是为火绒打广告。你也可以选择其它安全软件，只要能处理都可以的。以下是参考步骤。

步骤一：安装安全软件后，先使用专杀工具查杀一下。从主界面安全工具进入，拉到最底。如下图：

 

点击会打开浏览器提示下载。下载后直接运行即可。下载后的查杀工具可能也会被木马拦截导致运行时被阻止，导致出现“Windows 无法访问指定设备、路径及文件….”的提示框。如下图：

 

木马也真够绝的。对于此情况，按经验可能木马对要运行的安全软件名称进行拦截。如果是在它的名单内则被拦截运行，甚至直接删掉安全软件（如小编一开始用360系统急救箱，结果一运行就被删掉。可能是360树大招风，木马区别对待）。尝试修改查杀工具名称可以运行起来的话就要恭喜了，后面就轮到我们呵呵了。如果运行不起来，换用其它软件试试吧。查杀完成后，点击立即处理完，重启下系统就恢复正常了。

步骤二，全盘查杀

出于安全考虑，做一次全盘查杀还是很有必要的。