升级通告

安天AVL SDK反病毒引擎升级通告(20260606)

时间:2026年06月06日    来源:安天


本着安全能力透明化,易达、易用、可验、可感的原则,安天每周对公众发布AVL SDK反病毒引擎周度更新和能力全集情况。

一、周度更新情况

统计周期:2026年05月30日~2026年06月05日

安天AVL SDK反病毒引擎本周共发布病毒库更新84次,日均更新12次,新增可检测恶意代码家族28个,新增可检测恶意代码变种6,567个,新增检测规则26,337条。

下表为新增可检的恶意代码家族TOP5清单:

序号

病毒名

病毒描述

1

Trojan/Win32.GateKeeper

该家族是一种木马病毒,主要通过木马程序的方式潜伏在计算机系统中,监视用户的键盘输入和屏幕操作,记录敏感信息如账号、密码等。

2

Trojan/MSIL.SeroWorms

该家族是一种木马病毒,主要利用系统漏洞进行传播和感染,该病毒通过伪装成正常软件或隐藏在破解程序、盗版软件中诱骗用户下载执行,窃取用户的敏感信息,包括银行账户、密码、个人身份信息等重要数据。

3

Trojan/Linux.EvaRAT[Backdoor]

该家族是一种木马病毒,通过欺骗用户或携带其他恶意软件来进入受害者的计算机系统。一旦感染,会在后台运行并以隐藏的方式窃取敏感信息,监视用户的活动并向远程服务器发送数据。

4

Trojan/Win32.Grandropeiro[Dropper]

该家族是一种木马病毒,主要通过网络下载方式进行传播,具有独立传播、潜藏性强等特点,会尝试隐藏自己,窃取用户的敏感信息,损害系统安全和稳定性。

5

Trojan/Linux.GentleCrypt[Ransom]

该家族是一种木马病毒,通常通过钓鱼邮件、恶意下载或漏洞利用等方式传播。一旦感染,该恶意软件会加密用户的文件,并要求支付赎金以获取解密密钥,对计算机系统造成严重威胁。

(按照周期内家族样本HASH数统计)

更多相关内容请访问计算机病毒百科 virusview.net

二、检测能力全集情况

截止至2026年06月05日24:00,AVL SDK反病毒引擎可检出分布在8个基础分类,57,956个恶意代码家族的18,592,303个恶意代码变种、总检测规则数42,010,758条。

按照恶意代码分类统计检测能力和规则条数如下:

恶意代码分类

可检测恶意代码(种)

检测规则(条)

感染式病毒

59,657

6,817,012

蠕虫

315,349

3,945,305

木马

13,536,597

25,636,519

黑客工具

458,340

365,083

风险工具

1,206,606

2,232,419

流氓软件

3,015,717

3,013,238

垃圾文件

11

1,080

测试程序(自检用)

26

102

合计

18,592,303

42,010,758

预处理能力(部分):

可脱壳种类数31种(精确到种类),可拆解包裹数132个,含全部常见包裹和自解压包。

配套知识输出能力:

针对恶意代码载荷,配套使用AVL SDK配套恶意代码知识库,具备533种ATT&CK关键行为范式,覆盖ATT&CK技术标签171个,覆盖度64.29%,基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。

三、本周需重点防范病毒家族

近一周监测到游蛇(银狐)黑产组织活动主要通过仿冒网站和钓鱼邮件进行传播。其主要攻击手法为:

1、模仿合法的Microsoft Teams下载页面,使用相似的域名诱骗用户下载伪装成zip压缩包的木马安装程序。

2、运行解压后的文件会启动一个基于NSIS的安装程序。该安装程序会在运行真正的Teams安装工具的同时,向系统中植入多个恶意组件。

3、该恶意软件通过合法可执行文件加载恶意dll(白加黑),最终部署Winos远控木马。

安天AVL SDK反病毒引擎简介

安天AVL SDK反病毒引擎是安天面向全体系结构和系统平台所研发的威胁检测能力中间件。安天产品和使用生态伙伴产品通过嵌入AVL SDK获得病毒和恶意代码检测能力,并通过病毒库获得持续更新。

针对感染式病毒、蠕虫、木马、黑客工具、灰色软件、风险软件、垃圾文件、测试文件八个恶意代码分类,超过5万个家族和1800万个恶意代码变种进行精准识别检测,检测能力完整覆盖全量已知恶意代码,严格遵守CARO公约,输出由分类、环境、家族组成结构化分节命名,并基于恶意样本的行为能力输出并针对加密勒索、窃密、远控、僵尸程序、挖矿等典型恶意行为输出近百种恶意行为标签。安天引擎可识别超过300种文件格式,并对PE、ELF等编译可执行格式进行深度预处理,对各种包裹(含自解压包裹进行递归解压)、对OFFICE、ACAD等可嵌入脚本或有溢出风险格式的复合文档进行结构解析。从而确保对恶意代码对抗具有较高的鲁棒性,安天引擎同时带有可信文件签名库,支持产品基于黑白双控的方式实现安全策略,全面提升攻击者的难度。

安天检测能力可以全量本地部署,安天每日平均自动化分析处理超过200万新增文件对象,每两小时发布一次病毒库更新。同时也开放云查杀、云分析和计算机病毒百科等支撑服务。

安天AVL SDK有传统PC主机、智能终端、网络流量、信创系统、工业系统、无人系统等版本,面向主机系统和工作负载安全、网络流量安全、业务流转安全、邮件和文件服务安全等场景提供威胁检测能力。全面支持X86、ARM、MIPS(含Cavium)、RISC、PowerPC等各种体系架构,支持包括国产操作系统、Linux、Windows等多种主流操作系统和Vxwork等实时工业操作系统,支持骨干网场景的高速检测。

安天AVL SDK引擎为超过100家业内伙伴提供引擎赋能,除安天自身产品部署外,安天引擎已经累计覆盖超过40亿个节点(包括手机终端、信创PC终端、云原生节点、网络设备、网络安全设备等),为手机和智能终端提供内生安全检测能力。使用安天引擎的主要合作伙伴包括华为、小米、荣耀、VIVO、OPPO等手机企业,蚂蚁金服等大型互联网企业和多家网络安全上市企业。使用安天引擎的合作伙伴产品曾获得AV-TEST和NSS Labs等国际知名评测奖项。AVL SDK的 “L战斧”标志,已经成为可靠杀毒能力的象征。

安天全线产品包括但不限于智甲系统安全防护系统产品家族、睿甲主机安全检测响应系统、探海威胁检测系统、追影威胁分析系统、捕风蜜罐系统、青竹智语WAF等均使用安天反病毒引擎。

AVL SDK反病毒引擎从2001年开始研发,历经多个重大版本迭代升级。先后获得科技部中小企业创新基金(2004)、科技部863(2006)、发改委信息安全专项(2008)、工信部工程专项(2019)支持,AVL SDK移动版曾获得2014年度AV-TEST移动设备最佳保护奖,使用AVL SDK的安天探海、追影产品曾蝉联国家网络安全应急技术处理协调中心主办的第一届、第二届网络安全技术对抗赛第一名。