一种来自中国的"Zero Detection Trojan"：GLASSRAT（EXE）

pal家族

下面如实反馈卡巴斯基针对这个样本的表现。没有任何偏袒和针对。

1 卡巴斯基出现严重失误将这个文件信任。尚不清楚这是哪个郭嘉的实验室的人干的。


2 本人冒着极大的风险，仍然实机双击了样本。
幸运的是，卡巴斯基竟然防御成功。
经过分析，这是卡巴斯基多层次防御的体现事实如下

双击之后样本貌似删除了自身，在C盘programdata文件下释放了主体dll文件这个文件是入库的。
同时创建了启动项。

首先是应用程序控制组件通过KSN拦截住了dll立了首功（本次失误KSN也是罪魁祸首！）
26.11.2015 19.10.12;应用程序已添加至组受信任组;Adobe? Flash? Player 10.1 r53;Adobe? Flash? Player 10.1 r53;D:\360安全浏览器下载\FlashUtil\FlashUtil.exe;11/26/2015 19:10:12
26.11.2015 19.10.13;应用程序已添加至组不信任组;C:\PROGRA~3\APPLIC~1\updatef.dll;C:\PROGRA~3\APPLIC~1\updatef.dll;C:\PROGRA~3\APPLIC~1\updatef.dll;11/26/2015 19:10:13
26.11.2015 19.10.13;已阻止应用程序启动;C:\PROGRA~3\APPLIC~1\updatef.dll;C:\PROGRA~3\APPLIC~1\updatef.dll;C:\PROGRA~3\APPLIC~1\updatef.dll;11/26/2015 19:10:13

随后应用程序控制组件调用特征码，将其检测为病毒，在其注入其他程序前删除了它，避免了后续感染。

最后高级清除启动，将恶意dll先关启动项删除。


整个过程都跟SW和文件监控没有关系。。。也可以印证不光文件监控，SW和应用程序控制也可以调用特征库。

当然，本次误将恶意文件加白是不能容忍的严重失误。
上一个帖子里的本家族病毒也是我上报之后才入库的，可见，卡巴斯基很可能根本没有收集到这一系列病毒，也是十分令人后失望的！

XywCloud

SUD to BAV

230f4

有没有入库的？还有救吗？

sxj--1130

avast

wjy19800315

230f4 发表于 2015-11-26 20:23
有没有入库的？还有救吗？

关闭eset试了一下
数字还是不杀

230f4

wjy19800315 发表于 2015-11-26 20:28
关闭eset试了一下
数字还是不杀

是不是人工加白啦怎么还会无动于衷啊

230f4

sxj--1130 发表于 2015-11-26 20:24
avast

为什么 Avast 的 报毒名 总是这个  

找的 N 只样本 都报 这个

pal家族

230f4 发表于 2015-11-26 20:30
为什么 Avast 的 报毒名 总是这个  

找的 N 只样本 都报 这个

文件有无效的搜狗数字签名呢

230f4

pal家族 发表于 2015-11-26 20:33
文件有无效的搜狗数字签名呢

At the time of this writing, the malware has been shared with Symantec and Adobe, who were indirectly effected because of
the Adobe trademark and the Symantec/Verisign certificate. As more vendors are made aware of this malware, RSA
Research believes the detection ratio will increase from the near zero ratio at the time of this writing.

   是的，RSA的报告里也提到了

pal家族

230f4 发表于 2015-11-26 20:44
是的，RSA的报告里也提到了

valid？？？？
怎么可能，已经被吊销了啊！