文章总结： Gootloader恶意软件通过拼接千段ZIP压缩包及截断结束标记规避检测，导致部分分析工具崩溃。其利用JScript建立持久化并投递载荷。建议防御者基于异常ZIP结构特征进行检测，将JScript默认打开方式改为记事本并限制wscript.exe等脚本执行以防范攻击。 综合评分： 91 文章分类： 恶意软件,免杀,威胁情报

Gootloader升级投递手法：采用千段拼接ZIP压缩包实现隐秘分发

胡金鱼 胡金鱼

嘶吼专业版

2026年1月29日 14:00 北京

通常用于初始访问的Gootloader恶意软件，现采用一种畸形 ZIP 压缩包设计来规避检测，其手段是将多达 1,000 个压缩包进行拼接。

这样一来，这个本质上是归档 JScript 文件的恶意软件，会导致许多分析工具在尝试解析时直接崩溃。

研究人员称，虽然 Windows 自带的默认解压工具能成功解包该恶意文件，但依赖 7-Zip 和 WinRAR 的工具却会失败。

为实现这一目的，该恶意软件背后的威胁组织将 500 至 1,000 个 ZIP 压缩包拼接在一起，并辅以其他技巧，使分析工具的解析过程变得异常困难。

Gootloader 恶意软件加载器自 2020 年起便活跃至今，被各类网络犯罪活动（包括勒索软件部署）所利用。

据安全研究人员发现，该团伙在沉寂七个月后，于去年 11 月卷土重来。

虽然当时就已出现畸形 ZIP 压缩包，但仅包含微小修改，且在尝试提取数据时会出现文件名不匹配的问题。研究人员对近期样本的分析，为进一步加强该阶段的反分析能力，Gootloader 运营商现已实施了更为广泛的混淆机制。

具体而言，目前采用以下机制来规避检测与分析：

1.拼接多达一千个 ZIP 压缩包：利用解析器从文件末尾开始读取的特性。

2.使用截断的中央目录结束标记（EOCD）：缺失两个强制字节，导致大多数工具解析失败。

3.随机化磁盘数字段：导致工具误认为存在不存在的多磁盘压缩包。

4.添加本地文件头与中央目录项之间的元数据不匹配。

5.为每次下载生成唯一的 ZIP 和 JScript 样本：以规避静态检测。

6.以 XOR 编码的二进制大对象（Blob）形式投递 ZIP：在客户端进行解码并反复追加，直到达到所需大小，以此规避基于网络的检测。

本地文件头和中央目录之间的不匹配

一旦在主机上执行，恶意软件的 JScript 会通过 Windows 脚本宿主（WScript）从临时目录激活，并通过在“启动”文件夹中添加指向第二个 JScript 文件的快捷方式（.LNK）来建立持久化。

该载荷在首次启动及每次系统开机时执行，利用 NTFS 短文件名触发 CScript，随后由 PowerShell 生成另一个 PowerShell 进程。

尽管 Gootloader 的作者添加了多种破坏技术以在不影响功能的前提下规避检测，但研究人员利用这些结构异常特征，使防御者能够发现该威胁。

该检测机制依赖于发现特定的 ZIP 头特征组合、数百个重复的本地文件头以及 EOCD 记录。

研究人员建议防御者将打开 JScript 文件的默认应用程序改为记事本（Notepad），而非 Windows 脚本宿主（WSH），以防止其执行。 为减少攻击面，最好在不需要使用 JScript 文件的情况下，阻止 wscript.exe 和 cscript.exe 执行下载的内容。

参考及来源：https://www.bleepingcomputer.com/news/security/gootloader-now-uses-1-000-part-zip-archives-for-stealthy-delivery/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《Gootloader升级投递手法：采用千段拼接ZIP压缩包实现隐秘分发》