一個很普通的病毒下載器，本應被所有殺毒軟件查殺，但在全球最大的病毒檢測網站VirusTotal上只有來自中國的瑞星殺毒和韓國的安博士能查出，這到底是怎么一回事?

圖：瑞星在VirusTotal上率先檢測出該病毒

近日，瑞星威脅情報平臺率先截獲了一個名為“Contract JBornmann fully.exe”的病毒下載器，瑞星安全專家介紹，該病毒利用了河北某化工進出口貿易有限公司的有效數字簽名，因此披上了“合法的外衣”，成功躲避絕大多數殺毒軟件查殺。該下載器一旦被成功運行，會立刻下載盜號木馬、遠控后門等危害性極高的惡意代碼。

圖：病毒帶有有效的數字簽名

病毒下載器是一種非常常見的病毒傳播技術，其程序本身不具備惡意破壞、盜號、勒索等功能，也不具備非常先進或復雜的技術。

一個“常見”的病毒下載器，為何能擊穿全球殺毒軟件?

1. 該病毒下載器盜用了河北某化工進出口貿易有限公司的有效數字簽名，其根本目的是利用了殺毒軟件會放行帶有合法數字簽名程序的機制。

2. 病毒內部采用了復雜的混淆技術，對關鍵API與字符串進行加密處理，通過多次加、減和與運算的算法，將原信息轉換，使得在分析時難以還原真實的函數名和配置信息。

3. 攻擊者還將解密C2的方法與文件名綁定，企圖繞過沙箱分析和人工調試。

瑞星安全專家表示，基于以上幾點導致了該病毒樣本在VirusTotal上的檢出率極低。

瑞星為什么這么牛?

瑞星之所以能夠精準檢出該病毒，是因為瑞星引擎不以數字簽名機制為主要檢出依據，而使用了深度模擬反病毒工程師工作流程的“AI病毒代碼特征深度挖掘與分析技術”。瑞星安全專家介紹，依據此技術后，瑞星的AI反病毒引擎自動檢出率提升了10%左右。

面對這種狡猾的病毒，普通用戶該怎么辦?

病毒作者和反病毒廠商無時不在進行著技術博弈。在與惡意代碼斗爭的過程中，經常會出現“道高一尺”或“魔高一尺”的現象。因此，瑞星安全專家提醒大家，使用專業、可靠的安全防護產品是普通用戶最直接有效防御病毒的手段。

搭載了AI技術的瑞星ESM防病毒終端安全防護系統無需升級即可自動查殺該病毒，同時瑞星EDR(終端威脅檢測與響應系統)能夠將本次攻擊過程進行還原以及關系網展示，廣大用戶可安裝使用，避免遭到攻擊。