本着安全能力透明化,易达、易用、可验、可感的原则,安天每周对公众公布AVL SDK反病毒引擎周度更新和能力全集情况。统计周期:2025年04月05日~2025年04月11日安天AVL SDK反病毒引擎本周共发布病毒库更新84次,日均更新12次,新增可检测恶意代码家族41个,新增可检测恶意代码变种31,723个,新增检测规则46,673条。序号 | | |
| Trojan/Win64.BrockenDoor[Backdoor] | 该家族是一种木马病毒,主要通过网络传播,具有隐蔽性强、破坏力大的特点。该病毒允许远程黑客对系统进行远程控制,可能导致用户的隐私数据泄露、系统崩溃以及其他严重后果。 |
| HackTool/Win32.Sourfol
| 该家族是一种黑客工具,主要通过潜入用户系统、操作系统漏洞或软件漏洞的方式进行传播,并在系统中隐藏其恶意程序,以达到盗取用户信息、破坏系统功能,对系统造成严重威胁。 |
| | 该家族是一种木马病毒,通常隐藏在网页或电子邮件附件中,用于欺骗用户点击,并且具有较强的隐蔽性,一旦用户执行了恶意代码,会导致用户的个人信息泄露、账号被盗等严重后果,严重侵犯用户隐私和安全。 |
| Trojan/Win64.Sokbafig[Backdoor]
| 该家族是一种木马病毒,主要通过即时通讯软件、搜索引擎SEO推广、钓鱼邮件等多种手段渗透受害者主机,通过伪造软件自身信息,连接可疑IP地址,窃取受害者数据,控制受害者计算机。 |
| Trojan/Win32.Mbinder[Dropper] | 该家族是一种木马病毒,主要通过网络下载方式进行传播,具有独立传播、潜藏性强等特点,会尝试隐藏自己,窃取用户的敏感信息,损害系统安全和稳定性。
|
更多相关内容请访问计算机病毒百科virusview.net
截至2025年04月11日24:00,AVL SDK反病毒引擎可检出分布在8个基础分类,56,519个恶意代码家族的18,012,891个恶意代码变种、总检测规则数56,420,422条。
按照恶意代码分类统计检测能力和规则条数如下:
| 可检测恶意代码(种) | 检测规则(条) |
感染式病毒 | 57,823 | 9,609,814 |
蠕虫 | 303,552 | 5,528,644 |
木马 | 13,032,055 | 33,781,859 |
黑客工具 | 444,175 | 468,452 |
风险工具 | 1,190,385 |
2,988,866 |
流氓软件 | 2,984,877 | 4,033,274 |
垃圾文件 | 10 | 1,523 |
测试程序(自检用) | 14 | 7,990 |
| 18,012,891 | |
可脱可执行文件壳31种,可识别或解压(含自解压包)包裹132种。
配套知识输出能力:
针对恶意代码载荷,配套使用AVL SDK配套恶意代码知识库,可输出关键行为映射标签533种,可输出ATT&CK威胁攻击框架技战术标签139种,覆盖率为64.29%,基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。
近期,安天实验室监测到Windows平台活跃后门软件样本Trojan/Win64.Sokbafig[Backdoor],该后门软件于2025年4月被捕获,该家族通过即时通讯软件(微信,企业微信等)、搜索引擎SEO推广、钓鱼邮件等多种手段渗透受害者主机。Sokbafig后门软件采用“白+黑”形式进行攻击,伪造软件自身信息,连接可疑IP地址,窃取受害者数据,控制受害者计算机使之成为僵尸网络的一部分。
Sokbafig后门家族概览
家族名称 | Sokbafig |
出现时间 | 2025年3月 |
传播途径 | 即时通讯软件(微信,企业微信等)、搜索引擎SEO推广、钓鱼邮件等 |
针对系统 | Windows |
技术特征 | 白加黑 |
主要危害 | 窃取个人信息 僵尸网络 |
利用组件/相关家族 | Mirai
Gafgyt |
防护建议
针对该后门软件,安天建议采取如下防护措施:
(1)安装终端反病毒软件:推荐使用安天智甲终端防护系统等使用AVL SDK引擎的主机杀毒和防护产品。推荐安天智甲用户开启勒索病毒防御工具模块(默认开启);
(2)加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
(3)定期更改口令:定期更改系统口令,避免出现口令泄露导致系统遭到入侵;
(4)及时更新补丁:建议开启自动更新功能安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;
(5)关闭高危端口:对外服务采取最小化原则,关闭3389、445、139、135等不用的高危端口;
(6)邮件安全:谨慎处理可疑邮件,避免下载不明附件或点击陌生链接。
(7)关闭PowerShell:如不使用PowerShell命令行工具,建议将其关闭;
(8)定期数据备份:定期对重要文件进行数据备份,备份数据应与主机隔离。
安天应急响应服务
安天持续赋能用户构筑有效勒索攻击安全防护体系,达成有效安全价值。
全国服务热线:400-840-9234
服务支持邮箱:support@antiy.cn
警惕新型威胁,筑牢数据防线!
安天AVL SDK反病毒引擎是安天面向全体系结构和系统平台所研发的威胁检测能力中间件。安天产品和使用生态伙伴产品通过嵌入AVL SDK获得病毒和恶意代码检测能力,并通过病毒库获得持续更新。
针对感染式病毒、蠕虫、木马、黑客工具、灰色软件、风险软件、垃圾文件、测试文件八个恶意代码分类,超过5万个家族和1700万个恶意代码变种进行精准识别检测,检测能力完整覆盖全量已知恶意代码,严格遵守CARO公约,输出由分类、环境、家族组成结构化分节命名,并基于恶意样本的行为能力输出并针对加密勒索、窃密、远控、僵尸程序、挖矿等典型恶意行为输出近百种恶意行为标签。安天引擎可识别超过300种文件格式,并对PE、ELF等编译可执行格式进行深度预处理,对各种包裹(含自解压包裹进行递归解压)、对OFFICE、ACAD等可嵌入脚本或有溢出风险格式的复合文档进行结构解析。从而确保对恶意代码对抗具有较高的鲁棒性,安天引擎同时带有可信文件签名库,支持产品基于黑白双控的方式实现安全策略,全面提升攻击者的难度。
安天检测能力可以全量本地部署,安天每日平均自动化分析处理超过200万新增文件对象,每两小时发布一次病毒库更新。同时也开放云查杀、云分析和计算机病毒百科等支撑服务。
安天AVL SDK有传统PC主机、智能终端、网络流量、信创系统、工业系统、无人系统等版本,面向主机系统和工作负载安全、网络流量安全、业务流转安全、邮件和文件服务安全等场景提供威胁检测能力。全面支持X86、ARM、MIPS(含Cavium)、RISC、PowerPC等各种体系架构,支持包括国产操作系统、Linux、Windows等多种主流操作系统和Vxwork等实时工业操作系统,支持骨干网场景的高速检测。
安天AVL SDK引擎为超过100家业内伙伴提供引擎赋能,除安天自身产品部署外,安天引擎已经累计覆盖超过40亿个节点(包括手机终端、信创PC终端、云原生节点、网络设备、网络安全设备等),为手机和智能终端提供内生安全检测能力。使用安天引擎的主要合作伙伴包括华为、小米、荣耀、VIVO、OPPO等手机企业,蚂蚁金服等大型互联网企业和多家网络安全上市企业。使用安天引擎的合作伙伴产品曾获得AV-TEST和NSS Labs等国际知名评测奖项。AVL SDK的 “L战斧”标志,已经成为可靠杀毒能力的象征。
安天全线产品包括但不限于智甲系统安全防护系统产品家族、睿甲主机安全检测响应系统、探海威胁检测系统、追影威胁分析系统、捕风蜜罐系统、青竹智语WAF等均使用安天反病毒引擎。
AVL SDK反病毒引擎从2001年开始研发,历经多个重大版本迭代升级。先后获得科技部中小企业创新基金(2004)、科技部863(2006)、发改委信息安全专项(2008)、工信部工程专项(2019)支持,AVL SDK移动版曾获得2014年度AV-TEST移动设备最佳保护奖,使用AVL SDK的安天探海、追影产品曾蝉联国家网络安全应急技术处理协调中心主办的第一届、第二届网络安全技术对抗赛第一名。
