exe专杀(如何杀exe病毒)

近日，微软发布CVE-2020-0601漏洞公告，修复了Windows加密库中的CryptoAPI欺骗漏洞。该漏洞可被利用来签署恶意程序，从而欺骗操作系统或安全软件的安全机制，使Windows终端面临巨大的被攻击风险。主要影响Windows 10和Windows Server 2016、2019，Win10以下版本不受影响。

据腾讯安全技术专家检测，该漏洞的POC和wild exploitation先后出现，影响范围包括HTTPS连接、文件签名和邮件签名、用户态启动的签名可执行程序等。目前腾讯电脑管家和T-Sec终端安全管理系统可以修复这个漏洞。腾讯安全还率先发布了一款查杀恶意程序的工具，可以快速检测可疑程序是否利用CVE-2020-0601漏洞伪造证书。用户可以运行此工具来扫描本地硬盘或特定目录，并删除危险的程序。

在对腾讯安全团队利用的POC进行深入分析后，确认该POC是典型的CVE-2020-0601利用的签名伪造场景，即可以通过POC轻松伪造正常公钥对应的第二个可用私钥，相当于黑客可以用自己的私钥欺骗微软系统，随便创建一个签名，系统认为是合法的；但是，要达到这种效果，没有任何漏洞，需要很大的计算能力。

同时，腾讯安全团队还检测到国内一些黑产组织已经利用该漏洞构造了多个恶意程序，这表明该漏洞的利用方式已经被一些病毒木马掌握。虽然这种漏洞不能直接导致蠕虫式的利用，但它可以用于多种欺骗场景。

野用样本1: Ghost变种遥控木马。此示例利用该漏洞构造了一个看似正常的数字签名，这非常令人困惑。一旦用户被骗，电脑就会被黑客远程控制。攻击者可以进行提升权限、添加用户、获取系统信息、管理注册表、管理文件、记录键盘、窃听音频等操作。，还可以控制肉鸡电脑进行DDoS攻击。

我利用这个漏洞构建的恶意程序

野生利用样本2:马交易勒索软件。样本有看似正常的数字签名，攻击者诱导受害者运行恶意程序后，受害者的硬盘数据会被加密。

利用此漏洞构建的恶意程序2

场内利用场景三:利用漏洞，以伪造的证书骗取浏览器对网站的信任，如通过伪造相似域名进行钓鱼攻击，向被浏览器认定为“可信”的网站注入恶意脚本。

恶意网页可以显示正常的证书信息。

此外，腾讯安全研究人员指出，在任何受影响的机器中，任何PE文件只要用这个伪造的证书签名，都可以通过windows的证书测试。现有的安全系统在很大程度上依赖于证书签名。如果通过漏洞伪造签名欺骗系统，成功规避安全防御和查杀机制，攻击者就可以为所欲为，造成严重后果。

漏洞可以伪造任何PE文件的签名来欺骗系统。

在微软发布安全公告后不到一天的时间里，已经发现漏洞利用代码是公开的，并且出现了许多漏洞利用的样本。腾讯安全技术专家通过对攻击样本的深入分析，认为该漏洞的相关代码已经通过网络传播，被黑灰产利用的可能性越来越大。比如2017年4月，黑客攻击NSA，NSA发布的核武器级漏洞攻击包是永恒之蓝系列工具包，至今仍是网络黑产最常用、最优秀的攻击武器。

值得一提的是，该漏洞主要影响Windows 10和Windows Server 2016和2019。但是，Windows 8.1和更早版本以及Server 2012 R2和更早版本不支持带参数的ECC密钥。因此，早期版本的Windows将直接不信任此类试图利用此漏洞的证书，不会受到此漏洞的影响。

鉴于该漏洞具有极高的利用价值，且该漏洞的利用方法已在短时间内被黑产者掌握，腾讯安全专家建议企业的网络管理员可以参考以下方法运行专杀工具清除危险程序。

用法:

1.手动扫描(个人模式):

a、根据提示输入要扫描的目录，然后回车。如果是完全扫描，请输入root，然后按enter。

b、如果发现病毒，输入y，然后回车开始删除。请谨慎操作，删除后无法恢复。

2.命令行模式(企业模式):

a、用命令行启动exe，比如扫描c盘的测试目录(# # dir = C:\ test；Autodel=N)，如果您想要完全扫描(# dir = rootautodel="N ")

b、如果要自动删除，设置autodel="Y "

产品截图:如下

http://dlied 6 . QQ . com/invc/xfspeed/qpcmgr/download/CVE _ 2020 _ 0601 _ scan . exe

同时，腾讯安全建议企业用户立即升级补丁，尽快修复漏洞，或使用T-Sec终端安全管理系统(腾讯御点)统一检测并修复所有终端系统存在的安全漏洞。同时，企业用户还可以使用T-Sec高级威胁检测系统(腾讯御捷)检测利用CVE-2020-0601漏洞的攻击活动，全面保障企业自身网络安全。

T-Sec高级威胁检测系统沙盒检测危险程序。

对于普通个人用户，腾讯安全建议使用腾讯电脑管家的bug修复功能，或者Windows Update安装补丁，拦截危险程序，全面保护系统安全。

腾讯电脑管家发现漏洞风险

编辑:李