研究显示多数安全软件不会检测虚拟硬盘VHD和VHDX中存在的恶意软件
日前计算机应急响应小组的漏洞分析师威尔多曼发现,微软的WindowsDefender安全软件会主动忽略某些内容。
正常情况下微软会按照文件类型进行分析和检测,即便是压缩包或者是其他格式的存档文件也会自动检测其内容。
让人意外的是微软会自动忽略对所有虚拟硬盘格式的映像进行检测,即便包含恶意软件也可以顺利抵达用户电脑。
虚拟硬盘格式即VHD和VHDX这类 , 虚拟硬盘可能包含物理硬盘的内容例如硬盘的分区以及磁盘的文件系统等等。
重要的是虚拟硬盘格式用户是可以直接打开并浏览其中的内容的,这意味着攻击者们可以诱导用户加载恶意软件。
正常情况下无论用户是通过浏览器下载的还是电子邮件分享的文件,微软都会进行检测并分析其中内容是否有害。
而微软为什么会忽略虚拟硬盘映像这还是个迷,但研究发现至少虚拟硬盘映像是可以作为恶意软件传播的载体的。
漏洞分析师威尔多曼在发现WindowsDefender存在该问题后,转而又使用其他反病毒引擎对虚拟硬盘进行测试。
让人意外的是在 VirusTotal 网站调用的55 款反病毒引擎,没有任何引擎成功检测出虚拟硬盘里包含的恶意文件。
这意味着全球绝大多数主流的安全软件都会忽略检测虚拟硬盘映像,即便其中包含的恶意软件只是很常见的类型。
所以就目前来看如果攻击者使用虚拟硬盘映像传播病毒的话,绝大多数安全软件都不会进行分析更不会进行拦截。
当前微软尚未就此事发布任何声明所以我们不知道这些杀毒软件的出发点是什么,有兴趣的用户请关注后续报道。