研究显示多数安全软件不会检测虚拟硬盘VHD和VHDX中存在的恶意软件

日前计算机应急响应小组的漏洞分析师威尔多曼发现,微软的WindowsDefender安全软件会主动忽略某些内容。

正常情况下微软会按照文件类型进行分析和检测,即便是压缩包或者是其他格式的存档文件也会自动检测其内容。

让人意外的是微软会自动忽略对所有虚拟硬盘格式的映像进行检测,即便包含恶意软件也可以顺利抵达用户电脑。

研究显示多数安全软件不会检测虚拟硬盘(VHD/VHDX)中存在的恶意软件

虚拟硬盘映像成为黑盒子:

虚拟硬盘格式即VHD和VHDX这类 , 虚拟硬盘可能包含物理硬盘的内容例如硬盘的分区以及磁盘的文件系统等等。

重要的是虚拟硬盘格式用户是可以直接打开并浏览其中的内容的,这意味着攻击者们可以诱导用户加载恶意软件。

正常情况下无论用户是通过浏览器下载的还是电子邮件分享的文件,微软都会进行检测并分析其中内容是否有害。

而微软为什么会忽略虚拟硬盘映像这还是个迷,但研究发现至少虚拟硬盘映像是可以作为恶意软件传播的载体的。

多数安全软件忽略虚拟硬盘映像:

漏洞分析师威尔多曼在发现WindowsDefender存在该问题后,转而又使用其他反病毒引擎对虚拟硬盘进行测试。

让人意外的是在 VirusTotal 网站调用的55 款反病毒引擎,没有任何引擎成功检测出虚拟硬盘里包含的恶意文件。

这意味着全球绝大多数主流的安全软件都会忽略检测虚拟硬盘映像,即便其中包含的恶意软件只是很常见的类型。

所以就目前来看如果攻击者使用虚拟硬盘映像传播病毒的话,绝大多数安全软件都不会进行分析更不会进行拦截。

当前微软尚未就此事发布任何声明所以我们不知道这些杀毒软件的出发点是什么,有兴趣的用户请关注后续报道。

本文来源 卡内基美隆大学软件工程学院,由 山外的鸭子哥 整理编辑,其版权均为 卡内基美隆大学软件工程学院 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
new1
扫码关注蓝点网微信公众号

评论:

3 条评论,访客:3 条,站长:0 条
  1. qwq
    qwq发布于: 
    Google Chrome 76.0.3809.132 Google Chrome 76.0.3809.132 Windows 10 64位版 Windows 10 64位版

    可以用vhd构造一个只读的文件系统,然后里面如果有病毒文件,挂载vhd后杀软无法清除

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 76.0.3809.132 Google Chrome 76.0.3809.132 Windows 10 64位版 Windows 10 64位版

      杀毒软件只要检测即可,不需要清除,检测出来发出通知,避免攻击者诱导用户执行带毒文件

  2. fudashuai
    fudashuai发布于: 
    Maxthon 5.2.7.5000 Maxthon 5.2.7.5000 Windows 10 64位版 Windows 10 64位版

    这可是“大漏洞”啊!

发表评论