三問一個“常見”的病毒下載器 何以擊穿全球殺毒軟件？

一個很普通的病毒下載器，本應被所有殺毒軟件查殺，但在全球最大的病毒檢測網站VirusTotal上只有來自中國的瑞星殺毒和韓國的安博士能查出，這到底是怎么一回事？

圖：瑞星在VirusTotal上率先檢測出該病毒

近日，瑞星威脅情報平臺率先截獲了一個名為“Contract JBornmann fully.exe”的病毒下載器，瑞星安全專家介紹，該病毒利用了河北某化工進出口貿易有限公司的有效數字簽名，因此披上了“合法的外衣”，成功躲避絕大多數殺毒軟件查殺。該下載器一旦被成功運行，會立刻下載盜號木馬、遠控后門等危害性極高的惡意代碼。

圖：病毒帶有有效的數字簽名

病毒下載器是一種非常常見的病毒傳播技術，其程序本身不具備惡意破壞、盜號、勒索等功能，也不具備非常先進或復雜的技術。

一個“常見”的病毒下載器，為何能擊穿全球殺毒軟件？

1.該病毒下載器盜用了河北某化工進出口貿易有限公司的有效數字簽名，其根本目的是利用了殺毒軟件會放行帶有合法數字簽名程序的機制。

2.病毒內部采用了復雜的混淆技術，對關鍵API與字符串進行加密處理，通過多次加、減和與運算的算法，將原信息轉換，使得在分析時難以還原真實的函數名和配置信息。

3.攻擊者還將解密C2的方法與文件名綁定，企圖繞過沙箱分析和人工調試。

瑞星安全專家表示，基于以上幾點導致了該病毒樣本在VirusTotal上的檢出率極低。

瑞星為什么這么牛？

瑞星之所以能夠精準檢出該病毒，是因為瑞星引擎不以數字簽名機制為主要檢出依據，而使用了深度模擬反病毒工程師工作流程的“AI病毒代碼特征深度挖掘與分析技術”。瑞星安全專家介紹，依據此技術后，瑞星的AI反病毒引擎自動檢出率提升了10%左右。

面對這種狡猾的病毒，普通用戶該怎么辦？

病毒作者和反病毒廠商無時不在進行著技術博弈。在與惡意代碼斗爭的過程中，經常會出現“道高一尺”或“魔高一尺”的現象。因此，瑞星安全專家提醒大家，使用專業(yè)、可靠的安全防護產品是普通用戶最直接有效防御病毒的手段。

搭載了AI技術的瑞星ESM防病毒終端安全防護系統無需升級即可自動查殺該病毒，同時瑞星EDR（終端威脅檢測與響應系統）能夠將本次攻擊過程進行還原以及關系網展示，廣大用戶可安裝使用，避免遭到攻擊。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）