一個(gè)很普通的病毒下載器，本應(yīng)被所有殺毒軟件查殺，但在全球最大的病毒檢測(cè)網(wǎng)站VirusTotal上只有來自中國(guó)的瑞星殺毒和韓國(guó)的安博士能查出，這到底是怎么一回事?

圖：瑞星在VirusTotal上率先檢測(cè)出該病毒

近日，瑞星威脅情報(bào)平臺(tái)率先截獲了一個(gè)名為“Contract JBornmann fully.exe”的病毒下載器，瑞星安全專家介紹，該病毒利用了河北某化工進(jìn)出口貿(mào)易有限公司的有效數(shù)字簽名，因此披上了“合法的外衣”，成功躲避絕大多數(shù)殺毒軟件查殺。該下載器一旦被成功運(yùn)行，會(huì)立刻下載盜號(hào)木馬、遠(yuǎn)控后門等危害性極高的惡意代碼。

圖：病毒帶有有效的數(shù)字簽名

病毒下載器是一種非常常見的病毒傳播技術(shù)，其程序本身不具備惡意破壞、盜號(hào)、勒索等功能，也不具備非常先進(jìn)或復(fù)雜的技術(shù)。

一個(gè)“常見”的病毒下載器，為何能擊穿全球殺毒軟件?

1. 該病毒下載器盜用了河北某化工進(jìn)出口貿(mào)易有限公司的有效數(shù)字簽名，其根本目的是利用了殺毒軟件會(huì)放行帶有合法數(shù)字簽名程序的機(jī)制。

2. 病毒內(nèi)部采用了復(fù)雜的混淆技術(shù)，對(duì)關(guān)鍵API與字符串進(jìn)行加密處理，通過多次加、減和與運(yùn)算的算法，將原信息轉(zhuǎn)換，使得在分析時(shí)難以還原真實(shí)的函數(shù)名和配置信息。

3. 攻擊者還將解密C2的方法與文件名綁定，企圖繞過沙箱分析和人工調(diào)試。

瑞星安全專家表示，基于以上幾點(diǎn)導(dǎo)致了該病毒樣本在VirusTotal上的檢出率極低。

瑞星為什么這么牛?

瑞星之所以能夠精準(zhǔn)檢出該病毒，是因?yàn)槿鹦且娌灰詳?shù)字簽名機(jī)制為主要檢出依據(jù)，而使用了深度模擬反病毒工程師工作流程的“AI病毒代碼特征深度挖掘與分析技術(shù)”。瑞星安全專家介紹，依據(jù)此技術(shù)后，瑞星的AI反病毒引擎自動(dòng)檢出率提升了10%左右。

面對(duì)這種狡猾的病毒，普通用戶該怎么辦?

病毒作者和反病毒廠商無時(shí)不在進(jìn)行著技術(shù)博弈。在與惡意代碼斗爭(zhēng)的過程中，經(jīng)常會(huì)出現(xiàn)“道高一尺”或“魔高一尺”的現(xiàn)象。因此，瑞星安全專家提醒大家，使用專業(yè)、可靠的安全防護(hù)產(chǎn)品是普通用戶最直接有效防御病毒的手段。

搭載了AI技術(shù)的瑞星ESM防病毒終端安全防護(hù)系統(tǒng)無需升級(jí)即可自動(dòng)查殺該病毒，同時(shí)瑞星EDR(終端威脅檢測(cè)與響應(yīng)系統(tǒng))能夠?qū)⒈敬喂暨^程進(jìn)行還原以及關(guān)系網(wǎng)展示，廣大用戶可安裝使用，避免遭到攻擊。