安天AVL SDK反病毒引擎升级通告(20230311)

时间:2023年03月11日    来源:安天


本着安全能力透明化,易达、易用、可验、可感的原则,安天每周对公众发布AVL SDK反病毒引擎周度更新和能力全集情况。

1. 周度更新情况

统计周期:2023年3月4日~2023年3月10日

安天AVL SDK反病毒引擎本周共发布病毒库更新84次,日均更新12次,新增可检测恶意代码家族103个,新增恶意代码变种命名7,668条,新增检测规则36,184条。

下表为新增可检的恶意代码家族TOP10清单:

序号

病毒名

描述

1

Trojan/Win32.ESSR

该病毒家族是一种木马类程序。该家族运行后会建立远程访问连接、捕获键盘输入、收集系统信息、下载/上传文件、将其他恶意软件放入受感染的系统、执行拒绝服务 (DoS) 攻击以及运行/终止进程。

2

Trojan/Win32.MalgentMSR

该病毒家族是一种具有窃密行为的木马家族。该家族的样本在执行后会窃取用户名口令等信息,并且与远程的控制端通讯并接受后续的控制,控制端具有对用户机器的完全控制权。

3

Trojan[Rootkit]/Linux.Drovorub

该病毒家族是一种带有Rootkit功能的木马类程序。该家族木马在计算机上运行时,利用漏洞等缺陷开启后门的服务端,木马操纵者通过客户端来操作用户计算机,从而获得用户计算机的控制权。

4

Trojan/Win32.Bullboka

该病毒家族是一种木马类程序。该家族样本运行后会在本地下载恶意软件并执行。该家族经常用来在计算机中安装木马和其它恶意软件,同时保护恶意应用程序不被反病毒软件检测到。

5

Trojan/MSIL.UWS

该病毒家族是一种木马类程序。该家族采用MSIL中间语言编写。该家族运行后会建立远程访问连接、捕获键盘输入、收集系统信息、下载/上传文件、将其他恶意软件放入受感染的系统、执行拒绝服务 (DoS) 攻击以及运行/终止进程。

6

Trojan/JS.Pai

该病毒家族是一种使用JS脚本编写的木马家族。该家族样本多为脚本或网页文件,运行后跳转到包含恶意代码的URL地址,并利用漏洞下载其他恶意代码到本机运行。

7

Trojan/Win64.BlackLotus

该病毒家族是一种木马类程序。该家族样本在执行后会建立远程访问连接、捕获键盘输入、收集系统信息、下载/上传文件、将其他恶意软件放入受感染的系统、执行拒绝服务 (DoS) 攻击以及运行/终止进程。

8

Trojan/Win32.SMALLTRO

针对 Win32 平台,SMALLTRO 木马通常通过下载其他程序、欺骗用户或利用系统漏洞等方式进行传播,会给受感染的计算机带来安全隐患,可能会窃取用户的个人信息、密码等敏感信息,或者使用户被远程控制等。

9

Trojan/Win32.Dotinstall

该病毒家族是一种文件感染行为的木马家族,该家族的样本执行后能够通过将其代码附加到其他程序或文件来传播自身。

10

HackTool/PowerShell.DumpNTDS

该病毒家族是一种黑客工具类程序。该家族采用 PowerShell 脚本语言编写,样本运行后会内存转储所有域用户的密码哈希值等信息。

(按照周期内家族样本HASH数统计)

2. 检测能力全集情况

截止至2023年3月10日24:00,AVL SDK反病毒引擎可检出分布在8个基础分类,52,492个恶意代码家族的16,769,964个恶意代码变种、总检测规则数56,631,354条。

按照恶意代码分类统计检测能力和规则条数如下:

恶意代码分类

可检测恶意代码(种)

检测规则(条)

感染式病毒

50,290

10,476,317

蠕虫

290,794

5,973,453

木马

11,969,911

32,863,013

黑客工具

419,226

429,816

风险工具

1,135,526

3,100,225

流氓软件

2,904,207

3,786,857

垃圾文件

9

1,660

测试程序(自检用)

1

13

合计

16,769,964

56,631,354

预处理能力(部分):

可脱可执行文件壳31种,可识别或解压(含自解压包)包裹121种。

配套知识输出能力:

针对恶意代码载荷,配套使用AVL SDK配套恶意代码知识库,可输出关键行为映射标签533种,可输出ATT&CK威胁攻击框架技战术标签139种,覆盖率为64.29%,基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。

安天AVL SDK反病毒引擎简介

安天AVL SDK反病毒引擎是安天面向全体系结构和系统平台所研发的安全检测能力中间件。针对感染式病毒、蠕虫、木马、黑客工具、风险程序等八个恶意代码分类,超过5万个家族和1600万种恶意代码进行精准识别检测,并针对恶意代码的勒索攻击、主机僵尸程序、挖矿等典型恶意行为输出近百种恶意行为标签。

安天AVL SDK支持X86、MIPS(含Cavium)、ARM、PowerPC等各种体系架构,支持各种国产操作系统、Linux、Windows等各种主流操作系统,可以针对主机系统、网络流量、业务流转等场景提供安全监测能力。

安天全线产品包括但不限于智甲系统安全防护系统产品家族、探海威胁检测系统、追影威胁分析系统、捕风威胁捕获系统、青竹智语WAF等均使用安天反病毒引擎。打开产品的自动升级开关(需要产品可连接安天的公网升级服务器或内网管理中心),或使用产品手动升级功能就能获得安天引擎的每日更新。

安天AVL SDK引擎为超过100家业内伙伴提供引擎赋能,除安天自身产品部署外,安天引擎已经累计覆盖超过50万个云原生节点、130万台网络设备和网络安全设备和超过30亿部手机和智能终端提供内生安全检测能力。

AVL SDK反病毒引擎从2001年开始研发,历经多个重大版本迭代升级,曾先后获得科技部创新基金(2004)、国家863(2006)和发改委信息安全专项(2008)、工信部工业互联网专项(2019)支持。AVL SDK移动版曾获得2014年度AV-TEST移动设备最佳保护奖,使用AVL SDK的安天探海、追影产品曾蝉联国家网络安全应急技术处理协调中心主办的第一届、第二届网络安全技术对抗赛第一名。