防病毒网关

英国计算机应急响应小组（UK Government’s Computer Emergency Response Team）6月22日发布消息称，攻击者把恶意PDF文件封装到XDP格式文件中，以此规绕过防病毒网关的查杀。
XML Data Package(XDP) 是Adobe的一种基于XML的文件格式，文件名后缀为XDP，它是一种把PDF格式的文件内容封装在XML容器的机制。XML是一种文本格式，PDF文件是二进制格式，因此在将PDF文件以XML格式封装在XDP文件之前必须先将PDF文件编码为文本格式。在XDP文件格式中将二进制格式的PDF包编码为文本格式最常用的方式是base64编码。当时使用Adobe Reader打开XDP文件时，就像打开原始的PDF一样。

当然，杀毒厂商Sophos说在客户端，用户打开xdp时会释放PDF，在那个时候Sophos可以对PDF进行查杀。但是，这样一种通过XDP的嵌套手段确实已经绕开了防病毒网关的防护。毕竟当恶意PDF到达了客户端PC机上就已经有很多手段规避杀毒了，例如免杀。但是如果在防病毒网关能够检测的话，防病毒网关可以搞多个杀毒引擎来查，或者沙盒什么的。而现在这样一种绕过。的确就减弱了一道防线了。