安天AVL SDK反病毒引擎升級通告(20250329)
時間:2025年03月29日 來源:安天
本著安全能力透明化,易達、易用、可驗、可感的原則,安天每周對公眾發布AVL SDK反病毒引擎周度更新和能力全集情況。
1. 周度更新情況
統計周期:2025年03月22日~2025年03月28日
安天AVL SDK反病毒引擎本周共發布病毒庫更新84次,日均更新12次,新增可檢測惡意代碼家族43個,新增可檢測惡意代碼變種45,037個,新增檢測規則48,402條。
下表為新增可檢的惡意代碼家族TOP5清單:
|
序號 |
病毒名 |
病毒描述 |
|
1 |
該家族是一種木馬病毒,通常通過下載器的形式潛入用戶的計算機,用于遠程控制計算機或者下載其他惡意軟件。一旦感染,可能會導致用戶計算機系統遭受嚴重破壞。 |
|
|
2 |
該家族是一種木馬病毒,主要通過釣魚郵件、惡意下載鏈接或軟件攜帶等方式傳播,在感染用戶計算機后會隱藏自身并竊取用戶敏感信息,如賬號密碼、銀行卡信息等,從而危害用戶隱私安全。 |
|
|
3 |
該家族是一種木馬病毒,通常通過釣魚郵件、惡意下載或漏洞利用等方式傳播。一旦感染,該惡意軟件會加密用戶的文件,并要求支付贖金以獲取解密密鑰,對計算機系統造成嚴重威脅。 |
|
|
4 |
該家族是一種木馬病毒,主要通過網絡傳播,具有隱蔽性強、破壞力大的特點。該病毒允許遠程黑客對系統進行遠程控制,可能導致用戶的隱私數據泄露、系統崩潰以及其他嚴重后果。 |
|
|
5 |
該家族是一種木馬病毒,主要利用PowerShell腳本語言,可以通過潛在的惡意行為執行各種攻擊,并具有深度隱藏性,難以被殺毒軟件檢測。 |
(按照周期內家族樣本HASH數統計)
更多相關內容請訪問計算機病毒百科 virusview.net
2. 檢測能力全集情況
截止至2025年03月28日24:00時,AVL SDK反病毒引擎可檢出分布在8個基礎分類,56,315個惡意代碼家族的17,962,700個惡意代碼變種、總檢測規則數56,212,445條。
按照惡意代碼分類統計檢測能力和規則條數如下:
|
惡意代碼分類 |
可檢測惡意代碼(種) |
檢測規則(條) |
|
感染式病毒 |
57,781 |
9,589,715 |
|
蠕蟲 |
303,049 |
5,516,491 |
|
木馬 |
12,993,373 |
33,652,625 |
|
黑客工具 |
442,896 |
465,151 |
|
風險工具 |
1,188,135 |
2,979,050 |
|
流氓軟件 |
2,977,442 |
3,999,920 |
|
垃圾文件 |
10 |
1,520 |
|
測試程序(自檢用) |
14 |
7,973 |
|
合計 |
17,962,700 |
56,212,445 |
預處理能力(部分):
可脫可執行文件殼31種,可識別或解壓(含自解壓包)包裹132種。
配套知識輸出能力:
針對惡意代碼載荷,配套使用AVL SDK配套惡意代 碼知識庫,可輸出關鍵行為映射標簽533種,可輸出ATT&CK威脅攻擊框架技戰術標簽139種,覆蓋率為64.29%,基本上覆蓋了ATT&CK框架中的全部可靜態檢測的標簽數量。
本周需重點防范病毒家族
近期,安天實驗室監測到Windows平臺活躍勒索軟件樣本Trojan/Win64.Henasome[Ransom],該勒索軟件于2025年3月被捕獲,該家族通過網絡釣魚、漏洞利用、搭載于其他惡意軟件和非法獲取憑證等多種手段滲透受害者網絡。Henasome勒索軟件采用“AES+RSA”算法對文件進行加密,調用命令行命令來防止受害者恢復已加密的文件,具體操作為刪除卷影副本。截至目前,尚未發現任何工具能夠有效解密由Henasome勒索軟件加密的數據。
防護建議
|
組織名稱 |
Henasome |
|
出現時間 |
2025年3月 |
|
入侵方式 |
網絡釣魚、漏洞利用、捆綁軟件 |
|
解密工具 |
未發現公開解密工具 |
|
加密系統 |
Windows |
|
支付贖金方式與金額 |
通過暗網地址或郵箱進行聯系 |
|
是否雙重勒索 |
是 |
|
加密文件后綴名 |
sepsys |
|
勒索信 |
|
防護建議
防護建議針對該勒索軟件,安天建議采取如下防護措施:
(1)安裝終端反病毒軟件:推薦使用安天智甲終端防護系統等使用AVL SDK引擎的主機殺毒和防護產品。推薦安天智甲用戶開啟勒索病毒防御工具模塊(默認開啟);
(2)加強口令強度:避免使用弱口令,建議使用16位或更長的密碼,包括大小寫字母、數字和符號在內的組合,同時避免多個服務器使用相同口令;
(3)定期更改口令:定期更改系統口令,避免出現口令泄露導致系統遭到入侵;
(4)及時更新補丁:建議開啟自動更新功能安裝系統補丁,服務器、數據庫、中間件等易受攻擊部分應及時更新系統補丁;
(5)關閉高危端口:對外服務采取最小化原則,關閉3389、445、139、135等不用的高危端口;
(6)郵件安全:謹慎處理可疑郵件,避免下載不明附件或點擊陌生鏈接。
(7)關閉PowerShell:如不使用PowerShell命令行工具,建議將其關閉;
(8)定期數據備份:定期對重要文件進行數據備份,備份數據應與主機隔離。
安天應急響應服務安天持續賦能用戶構筑有效勒索攻擊安全防護體系,達成有效安全價值。
全國服務熱線:400-840-9234
服務支持郵箱:[email protected]
警惕新型威脅,筑牢數據防線!
安天AVL SDK反病毒引擎簡介
安天AVL SDK反病毒引擎是安天面向全體系結構和系統平臺所研發的威脅檢測能力中間件。安天產品和使用生態伙伴產品通過嵌入AVL SDK獲得病毒和惡意代碼檢測能力,并通過病毒庫獲得持續更新。
針對感染式病毒、蠕蟲、木馬、黑客工具、灰色軟件、風險軟件、垃圾文件、測試文件八個惡意代碼分類,超過5萬個家族和1700萬個惡意代碼變種進行精準識別檢測,檢測能力完整覆蓋全量已知惡意代碼,嚴格遵守CARO公約,輸出由分類、環境、家族組成結構化分節命名,并基于惡意樣本的行為能力輸出并針對加密勒索、竊密、遠控、僵尸程序、挖礦等典型惡意行為輸出近百種惡意行為標簽。安天引擎可識別超過300種文件格式,并對PE、ELF等編譯可執行格式進行深度預處理,對各種包裹(含自解壓包裹進行遞歸解壓)、對OFFICE、ACAD等可嵌入腳本或有溢出風險格式的復合文檔進行結構解析。從而確保對惡意代碼對抗具有較高的魯棒性,安天引擎同時帶有可信文件簽名庫,支持產品基于黑白雙控的方式實現安全策略,全面提升攻擊者的難度。
安天檢測能力可以全量本地部署,安天每日平均自動化分析處理超過200萬新增文件對象,每兩小時發布一次病毒庫更新。同時也開放云查殺、云分析和計算機病毒百科等支撐服務。
安天AVL SDK有傳統PC主機、智能終端、網絡流量、信創系統、工業系統、無人系統等版本,面向主機系統和工作負載安全、網絡流量安全、業務流轉安全、郵件和文件服務安全等場景提供威脅檢測能力。全面支持X86、ARM、MIPS(含Cavium)、RISC、PowerPC等各種體系架構,支持包括國產操作系統、Linux、Windows等多種主流操作系統和Vxwork等實時工業操作系統,支持骨干網場景的高速檢測。
安天AVL SDK引擎為超過100家業內伙伴提供引擎賦能,除安天自身產品部署外,安天引擎已經累計覆蓋超過40億個節點(包括手機終端、信創PC終端、云原生節點、網絡設備、網絡安全設備等),為手機和智能終端提供內生安全檢測能力。使用安天引擎的主要合作伙伴包括華為、小米、榮耀、VIVO、OPPO等手機企業,螞蟻金服等大型互聯網企業和多家網絡安全上市企業。使用安天引擎的合作伙伴產品曾獲得AV-TEST和NSS Labs等國際知名評測獎項。AVL SDK的 “L戰斧”標志,已經成為可靠殺毒能力的象征。
安天全線產品包括但不限于智甲系統安全防護系統產品家族、睿甲主機安全檢測響應系統、探海威脅檢測系統、追影威脅分析系統、捕風蜜罐系統、青竹智語WAF等均使用安天反病毒引擎。
AVL SDK反病毒引擎從2001年開始研發,歷經多個重大版本迭代升級。先后獲得科技部中小企業創新基金(2004)、科技部863(2006)、發改委信息安全專項(2008)、工信部工程專項(2019)支持,AVL SDK移動版曾獲得2014年度AV-TEST移動設備最佳保護獎,使用AVL SDK的安天探海、追影產品曾蟬聯國家網絡安全應急技術處理協調中心主辦的第一屆、第二屆網絡安全技術對抗賽第一名。