火絨安全軟件是新一代全功能安全軟件,火絨安全軟件基于強大的底層技術,反病毒、主動防御和防火墻三大模塊深度整合,近日,火絨虛擬沙盒針對驅動病毒實現通用脫殼,可獲取到驅動病毒核心特征,提高此類病毒的查殺效果,更好地防御相關未知威脅。

火絨“在線支持與響應平臺”統計發現,近幾年驅動病毒數量在不斷增長,火絨安全接到用戶此類病毒問題的求助也在逐年遞增。

驅動病毒往往通過惡意劫持用戶網頁流量、盜取用戶信息、降低系統安全性等操作,給用戶電腦帶來安全隱患,侵害用戶個人隱私。驅動病毒問題已經成為國內個人用戶遇到的主要安全威脅之一。


【資料圖】

驅動病毒是一種內核級病毒,病毒可以對操作系統內核資源進行劫持,或通過隱藏其他病毒進程、注冊表、文件相關操作等方式與安全軟件進行對抗。在此類對抗場景中,驅動病毒由于對運行穩定性要求較高,所以主要表現為使用“保護殼”方式對抗安全軟件查殺,如VMProtect等。而針對帶有“保護殼”的驅動病毒,常規查殺手段無法高效精準地對其識別查殺。

另外一種現象是,越來越多的驅動病毒開始帶有微軟的WHQL簽名,從而使得安全軟件常規查殺效果進一步降低。

此次火絨虛擬沙盒針對驅動病毒實現通用脫殼的技術升級,可以戳穿驅動病毒的“偽裝”,通過模擬仿真的方式,還原驅動病毒的本質代碼、數據和病毒行為,捕捉病毒核心特征,實現“穩、準”查殺。

以Rootkit病毒Rootkit/W64.Agent.h為例,該病毒使用微軟的WHQL簽名,并且使用VMProtect進行加密。相關文件信息,如下圖所示:

病毒驅動文件信息

脫殼前和脫殼后對比圖

VMProtect加密后,病毒的核心特征被加密,脫殼前和脫殼后對比圖,如下圖所示:

“拉法病毒”內層核心特征

以“拉法病毒”的過濾驅動模塊HomePop.sys為例,該模塊使用VMProtect進行加密,在火絨虛擬沙盒環境中對其進行通用脫殼后,獲取到病毒核心特征,達到更好的查殺效果。相關特征,如下圖所示:

病毒使用的證書信息

病毒使用的證書信息,如下圖所示:

傳奇私服病毒內層核心特征

以《傳奇私服正攜帶病毒劫持網絡流量火絨安全已攔截》中的Rootkit病毒為例,火絨虛擬沙盒引擎對其進行脫殼后,即可獲取到大量核心特征,如:攔截的驅動簽名列表、C&C服務器地址、配置相關等信息,如下圖所示:

Rootkit/StartPage.m病毒內層核心特征

以Rootkit病毒Rootkit/StartPage.m為例,火絨虛擬沙盒引擎對其進行脫殼后,即可獲取到核心特征,如下圖所示:

樣本HASH:

標簽: 火絨安全,火絨安全,火絨安全虛擬沙盒,攻略,教程