本月25日我们讨论了戴尔eDellRoot根证书漏洞，同样的问题今天又被曝露出来：在某些戴尔系统中发现了第二个自签名的根证书DSDTestProvider，并且同样附带了私钥。

今天上午，微步在线的安全分析云Virusbook.cn捕获到使用此证书签名的恶意软件。链接

此恶意软件是Conficker家族的变体。我们分析，这可能是黑客在使用DSDTestProvider证书进行抗检测试验，和之前eDellRoot的情况类似。

根据以上情况，我们建议安全厂商对于任何使用DSDTestProvider签名的程序都需要特别注意并仔细检查。相应的IOC文件已经在我们网站更新并推送给我们的客户。我们会紧密跟踪事件的发展，使我们的客户及整个社区及时得到警报及保护信息。

戴尔产品用户应该检查自己的系统，并从受信任的根证书中删除DSDTestProvider（打开启动——输入certmgr.msc——跳出证书管理界面——点开受信任的根证书颁发机构，查看有没有名为DSDTestProvider的证书）。

到目前为止，我们还没有看到任何来自戴尔有关如何删除此证书的官方回应或说明。

机读威胁情报OpenIOC下载链接：https://threatbook.cn/ioc/dsdtestprovider/。

*本文作者：Threatbook(微步在线) 是国内首家专注于安全威胁情报的创业公司，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）