腾讯财付通漏洞遭黑客利用 威胁QQ彩钻等付费用户

发布时间：2011-7-8 来源：360安全中心

　　7月7日，360安全中心独家发现腾讯财付通支付产品出现高危漏洞，导致其数字签名证书被黑客利用，其危害相当于为木马病毒颁发了“免死金牌”，主要影响QQ彩钻、腾讯拍拍，以及接入财付通支付平台的购物网站用户，目前国内仅360安全卫士能够独家拦截并查杀此类木马。

　　据介绍，数字签名相当于软件程序的“身份证”，当具备有效数字签名的程序运行时，杀毒软件普遍会自动信任这类程序，无条件予以放行。而腾讯财付通漏洞是由于其数字签名证书缺乏必要的安全机制，任何人使用手机就可以申请到；同时，该证书也没有控制使用权限，可以为任意程序提供数字签名，包括木马病毒。

　　此前，黑客在对木马病毒进行“免杀”处理时，通常需要定位特征码、加壳等一系列复杂的操作，并且很难突破所有主流杀毒软件。利用腾讯财付通漏洞，即便是一个所有杀毒软件都能杀的木马，几分钟内就可以变为带着腾讯公司身份标识的“合法程序”，使绝大多数杀毒软件拦截失效。

据验证，财付通数字签名在装有财付通根证书的电脑上会自动生效（使用财付通且安装了Tenpay.com Root CA）。因此，该漏洞主要威胁QQ彩钻付费用户、腾讯拍拍用户，以及其它接入财付通支付平台的购物和充值网站用户，用户量保守估计也在千万级水平。

　　 360安全中心监测发现，网上已经出现了带有腾讯财付通数字签名的木马，感染量约为1.2万台电脑。从数字签名的时间戳判断，该木马最早出现在7月3日中午，是一款能够联网下载大量木马病毒的下载器，最明显的中招现象是浏览器首页被篡改为“7241网址导航”。由于财付通漏洞已经被黑客公开利用，此类木马的数量和感染量正在急剧上升，预计将成为未来一段时期最主要的木马。