文章总结： GootLoader利用由500–1000个拼接ZIP构成的畸形压缩包绕过7zip等分析工具，仅Windows原生解压可识别并释放JScript，完成无文件落地感染后投递勒索软件；报告给出阻止.js执行、监控wscript/cscript异常进程链等具体防御措施。 综合评分： 88 文章分类： 恶意软件,漏洞分析,威胁情报,终端安全,安全工具

GootLoader 使用格式错误的 ZIP 文件来绕过安全检测

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年1月19日 09:00 湖北

导读

GootLoader恶意软件使用由数百个连接在一起的压缩文件组成的畸形ZIP文件来逃避检测。

GootLoader被勒索软件攻击者用于获取初始访问权限，然后转交给其他人。它旨在逃避检测，在过去几年中，它占绕过恶意软件总数的 11%。

GootLoader 采用“访问即服务”模式运行，被不同组织用于在受感染的系统上投放其他恶意载荷。已知 GootLoader 使用无文件技术传播 SunCrypt、  REvil （Sodinokibi）勒索软件、  Kronos 木马和 Cobalt Strike 等威胁。过去，GootLoader 曾将恶意软件伪装成免费软件安装程序，并利用合法文件诱骗用户下载这些文件。

GootLoader 是GootKit恶意软件家族的一部分  ，该家族自 2014 年以来一直活跃。Mandiant 将 GootKit 背后的威胁组织追踪为 UNC2565。

该病毒于 2025 年 11 月再次出现，现在与Vanilla Tempest和Rhysida 勒索软件有关，它在其第一阶段加载器中使用格式错误的 ZIP 文件来逃避分析。

GootLoader 以包含恶意 JScript 文件的 ZIP 文件形式传播。在 Windows 系统中打开该文件后，脚本会运行并启动感染。该 ZIP 文件经过精心设计，许多安全分析工具无法打开，但 Windows 系统本身可以打开。这使得恶意软件能够逃避检测，同时仍然对受害者造成损害。

“攻击者创建了一个格式错误的压缩文件，以此作为一种反分析手段。也就是说，许多解压缩工具无法稳定地解压该文件，但有一个关键的解压缩工具似乎能够稳定可靠地工作：那就是Windows系统内置的默认解压缩工具。” Expel发布的报告指出。

由于许多专业工具（例如7zip和WinRAR）无法访问该文件，因此许多自动化工作流程无法分析其内容；但由于Windows默认解压缩工具可以访问该文件，因此攻击者的目标受众（潜在受害者）可以打开并运行JScript脚本。

GootLoader 使用一个由 500 到 1000 个 ZIP 压缩包拼接而成的畸形 ZIP 文件，由于 ZIP 文件是从末尾读取的，因此仍然可以正常工作。该文件是在受害者的系统上使用编码数据构建的，以逃避网络检测。其目录结构部分损坏，关键字段也被随机化，这使得许多压缩工具难以识别，但在 Windows 系统上仍然可以正常使用。

攻击首先向受害者发送一个看似无害的加密文件。在用户的浏览器中，该文件会被解码并反复复制，最终生成一个 ZIP 文件，从而绕过安全检查。当受害者打开该文件时，Windows 会自动显示一个 JavaScript 文件。运行该文件会启动恶意软件，创建一个启动快捷方式以实现持久化，并利用 PowerShell 继续执行攻击。

为了防御 GootLoader 攻击，应默认阻止 JavaScript 文件运行，在不需要时限制或阻止 wscript 和 cscript 的使用，并使用组策略对象 (GPO) 将 .js 文件设置为在记事本中打开。检测重点应放在异常的 ZIP 行为、从临时文件夹执行脚本、创建启动快捷方式以及可疑的进程链（例如 cscript 启动 PowerShell）上。

报告总结道：“检测应重点关注 ZIP 归档文件的异常行为以及后续的进程执行链。”

• 监视 wscript.exe 是否正在执行位于 AppData\Local\Temp 目录中的 .js 文件。
• 监控用户启动文件夹中指向非标准目录中脚本的 .LNK 文件的创建情况。
• 标记 cscript.exe 使用旧式 NTFS 短名称（例如 FILENA~1.js）执行 .js 文件的情况。
• 针对特定进程树发出警报：cscript.exe  → powershell.exe

技术报告：

《Gootloader 生成的格式错误的 ZIP 文件竟然完美运行》

https://expel.com/blog/gootloaders-malformed-zip/

新闻链接：

GootLoader uses malformed ZIP files to bypass security controls

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《GootLoader 使用格式错误的 ZIP 文件来绕过安全检测》