文章总结： GootLoader恶意软件利用由数百个ZIP压缩包拼接而成的畸形文件绕过安全检测，该文件仅能被Windows默认工具解压。攻击通过JScript脚本投放勒索软件等载荷。建议组织禁用wscript和cscript，阻止JS自动运行，并监控异常ZIP行为及Temp目录下的脚本执行。 综合评分： 90 文章分类： 恶意软件,威胁情报,免杀,应急响应

GootLoader 使用格式错误的 ZIP 文件来绕过安全控制

ZM ZM

暗镜

2026年1月20日 13:00 北京

GootLoader恶意软件使用由数百个连接在一起的压缩文件组成的畸形ZIP文件来逃避检测。

被勒索软件攻击者用于获取初始访问权限，然后转交给其他人。它旨在逃避检测，在过去几年中，它占绕过恶意软件总数的 11%。

GootLoader 采用“访问即服务”模式运行，被不同组织用于在受感染的系统上投放其他恶意载荷。已知 GootLoader 使用无文件技术传播、（Sodinokibi）勒索软件、木马和 Cobalt Strike 等威胁。过去，GootLoader 曾将恶意软件伪装成免费软件安装程序，并利用合法文件诱骗用户下载这些文件。

恶意软件家族的一部分  ，该家族自 2014 年以来一直活跃。Mandiant 将 GootKit 背后的威胁行为者追踪为。

该病毒于 2025 年 11 月再次出现，现在与和有关，它在其第一阶段加载器中使用格式错误的 ZIP 文件来逃避分析。

GootLoader 以包含恶意 JScript 文件的 ZIP 文件形式传播。在 Windows 系统中打开该文件后，脚本会运行并启动感染。该 ZIP 文件经过精心设计，许多安全分析工具无法打开，但 Windows 系统本身可以打开。这使得恶意软件能够逃避检测，同时仍然对受害者造成损害。

“攻击者创建了一个格式错误的压缩文件，以此作为一种反分析手段。也就是说，许多解压缩工具无法稳定地解压该文件，但有一个关键的解压缩工具似乎能够稳定可靠地工作：那就是Windows系统内置的默认解压缩工具。” Expel发布的指出。“由于许多专业工具（例如7zip和WinRAR）无法访问该文件，因此许多自动化工作流程无法分析其内容；但由于Windows默认解压缩工具可以访问该文件，因此攻击者的目标受众（潜在受害者）可以打开并运行JScript脚本。”

这个 ZIP 文件实际上包含数百个紧密拼接在一起的 ZIP 文件，之所以还能正常工作，是因为 ZIP 文件是从末尾读取的。每个下载的文件都是独一无二的，因此安全工具无法依赖文件指纹。

该 ZIP 文件还包含损坏且随机的元数据，这会使许多分析工具感到困惑，但 Windows 系统仍然可以打开它。这使得恶意软件能够绕过防御，迫使安全团队依赖基于行为的检测，而不是文件签名。

GootLoader 使用一个由 500 到 1000 个 ZIP 压缩包拼接而成的畸形 ZIP 文件，由于 ZIP 文件是从末尾读取的，因此仍然可以正常工作。该文件是在受害者的系统上使用编码数据构建的，以逃避网络检测。其目录结构部分损坏，关键字段也被随机化，这使得许多压缩工具难以识别，但在 Windows 系统上仍然可以正常使用。

报告继续指出：“该文件由 500 到 1000 个 ZIP 压缩包拼接而成。由于 ZIP 压缩包是从文件末尾读取的，因此它仍然可以正常工作。拼接的 ZIP 压缩包数量是随机的，并且 ZIP 压缩包本身是在下载时生成的。”

攻击首先向受害者发送一个看似无害的加密文件。在用户的浏览器中，该文件会被解码并反复复制，最终生成一个 ZIP 文件，从而绕过安全检查。当受害者打开该文件时，Windows 会自动显示一个 JavaScript 文件。运行该文件会启动恶意软件，创建一个启动快捷方式以实现持久化，并利用 PowerShell 继续执行攻击。

为降低风险，组织应在不需要时阻止 wscript 和 cscript，并阻止 JavaScript 文件自动运行。

为了防御 GootLoader 攻击，组织应默认阻止 JavaScript 文件运行，在不需要时限制或阻止 wscript 和 cscript 的使用，并使用组策略对象 (GPO) 将 .js 文件设置为在记事本中打开。检测重点应放在异常的 ZIP 行为、从临时文件夹执行脚本、创建启动快捷方式以及可疑的进程链（例如 cscript 启动 PowerShell）上。

报告总结道：“检测应重点关注 ZIP 归档文件的异常行为以及后续的进程执行链。”

“监视 wscript.exe 是否正在执行位于 AppData\Local\Temp 目录中的 .js 文件。

监控用户启动文件夹中指向非标准目录中脚本的 .LNK 文件的创建情况。

标记 cscript.exe 使用旧式 NTFS 短名称（例如 FILENA~1.js）执行 .js 文件的情况。

针对特定进程树发出警报：cscript.exe → powershell.exe””

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《GootLoader 使用格式错误的 ZIP 文件来绕过安全控制》