一个很普通的病毒下载器,本应被所有杀毒软件查杀,但在全球最大的病毒检测网站VirusTotal上只有来自中国的瑞星杀毒和韩国的安博士能查出,这到底是怎么一回事?
图:瑞星在VirusTotal上率先检测出该病毒
近日,瑞星威胁情报平台率先截获了一个名为“Contract JBornmann fully.exe”的病毒下载器,瑞星安全专家介绍,该病毒利用了河北某化工进出口贸易有限公司的有效数字签名,因此披上了“合法的外衣”,成功躲避绝大多数杀毒软件查杀。该下载器一旦被成功运行,会立刻下载盗号木马、远控后门等危害性极高的恶意代码。
图:病毒带有有效的数字签名
病毒下载器是一种非常常见的病毒传播技术,其程序本身不具备恶意破坏、盗号、勒索等功能,也不具备非常先进或复杂的技术。
一个“常见”的病毒下载器,为何能击穿全球杀毒软件?
1. 该病毒下载器盗用了河北某化工进出口贸易有限公司的有效数字签名,其根本目的是利用了杀毒软件会放行带有合法数字签名程序的机制。
2. 病毒内部采用了复杂的混淆技术,对关键API与字符串进行加密处理,通过多次加、减和与运算的算法,将原信息转换,使得在分析时难以还原真实的函数名和配置信息。
3. 攻击者还将解密C2的方法与文件名绑定,企图绕过沙箱分析和人工调试。
瑞星安全专家表示,基于以上几点导致了该病毒样本在VirusTotal上的检出率极低。
瑞星为什么这么牛?
瑞星之所以能够精准检出该病毒,是因为瑞星引擎不以数字签名机制为主要检出依据,而使用了深度模拟反病毒工程师工作流程的“AI病毒代码特征深度挖掘与分析技术”。瑞星安全专家介绍,依据此技术后,瑞星的AI反病毒引擎自动检出率提升了10%左右。
面对这种狡猾的病毒,普通用户该怎么办?
病毒作者和反病毒厂商无时不在进行着技术博弈。在与恶意代码斗争的过程中,经常会出现“道高一尺”或“魔高一尺”的现象。因此,瑞星安全专家提醒大家,使用专业、可靠的安全防护产品是普通用户最直接有效防御病毒的手段。
搭载了AI技术的瑞星ESM防病毒终端安全防护系统无需升级即可自动查杀该病毒,同时瑞星EDR(终端威胁检测与响应系统)能够将本次攻击过程进行还原以及关系网展示,广大用户可安装使用,避免遭到攻击。
