【收集贴】ESET漏报 Rootkit/国产木马样本收集

Jerry.Lin

a27573 发表于 2020-4-19 00:46
以前样本区积累下来的。。。

js投放Rootkit
https://ww.lanzous.com/iblg7rc

这个能找到本体么？

a27573

Jerry.Lin 发表于 2020-4-19 22:41
这个能找到本体么？

https://bbs.kafan.cn/thread-2177209-1-1.html
其实双击js之后eset能拦后续动作，但扫描不报，我就放上来了。抱歉，其实严格意义上不符合题意。。。甚至有可能是我当时忘了上报了

我这里驱动似乎没有加载(ark里没看到)，而且似乎只释放了白驱动

问一下，这个帖子会持续多久?毕竟下周末我才能再碰电脑。我这里还有一些右键上报了一到二次的样本，可能掺杂灰文件和坏掉的文件以及少数白文件。不过我会尽量筛选的。

Jerry.Lin

a27573 发表于 2020-4-19 09:39
https://bbs.kafan.cn/thread-2177209-1-1.html
其实双击js之后eset能拦后续动作，但扫描不报，我就放上 ...

没事，不急，这个是长期收集贴

LSPD

这个应该是个带锁主页的小马
eset不报
https://send.firefox.com/downloa ... TZ854jNEs-2UBuk8TFQ

Jerry.Lin

LSPD 发表于 2020-4-19 19:42
这个应该是个带锁主页的小马
eset不报
https://send.firefox.com/download/be2984ab11386d21/#PC0TZ854jN ...

执行后报 Win32/HackTool.WinActivator.Q， 清除后无后续动作

Jerry.Lin

Miostartos 发表于 2020-4-18 08:29
链接: https://pan.baidu.com/s/1Ej8VlJ5ExxZimoyIGOaZyA 提取码: kd77

这玩意看解包似乎是UPX的，结 ...

不好意思，没有解除，再次询问ESET，得到答复如下

The detection is correct. The purpose of the driver is questionable and having such driver running in the system is risky. You can exclude the file from detection, however.

Miostartos

Jerry.Lin 发表于 2020-4-21 22:45
不好意思，没有解除，再次询问ESET，得到答复如下

神经阿ESET。
mihoyo那边反馈也没反应。

a27573

Miostartos 发表于 2020-4-21 22:58
神经阿ESET。
mihoyo那边反馈也没反应。

之前有几个有严重漏洞，经常被利用的白驱动，ESET不杀，鉴于ESET比较保守的策略，我可以理解
不过这里却。。。

问一下，这些被利用的驱动需要上报吗@Jerry.Lin
其实都是lifan88发出来的，不过他没来。。。

pal家族

a27573 发表于 2020-4-21 23:20
之前有几个有严重漏洞，经常被利用的白驱动，ESET不杀，鉴于ESET比较保守的策略，我可以理解
不过这里却 ...

ESET比较保守的策略

黑人问号

Jerry.Lin

a27573 发表于 2020-4-21 09:20
之前有几个有严重漏洞，经常被利用的白驱动，ESET不杀，鉴于ESET比较保守的策略，我可以理解
不过这里却 ...

不用，应该是不会入库的