搜索
楼主: 落华无痕
收起左侧

[病毒样本] 传奇sf rootkit 2x

[复制链接]
发呆的阿狸~
发表于 2021-11-27 20:33:16 | 显示全部楼层
ekincheng 发表于 2021-11-21 12:11
传奇SF 架设的好好的, 该赚的钱商城弄了赚...
  不知道老要弄点病毒出来干嘛。。。

正如28楼说的SF之间竞争激烈甚至现在都会针对360系统急救箱避免自己被杀,
因为之前他们互相借用系统急救箱来消灭竞争对手的驱动,所以现在基本自己都做了对360急救箱针对。
a27573
发表于 2021-12-3 23:46:22 | 显示全部楼层
本帖最后由 a27573 于 2021-12-4 18:54 编辑
anthonyqian 发表于 2021-11-20 17:55
ESET  ELG

A946D07DFCA5.exe - 文件安全可用

在我让VT重新分析之前,我看见VT上的ESET是报i8041par.dat(应该是个sys)的(a variant of Generik.DMUMXM),另一个文件不清楚
重新分析之后,包括ESET在内的数个杀软解除了报毒

@ICzcz @Eset小粉絲
怎么回事?

补充:目前仍可以看到微步上11月22日的扫描结果

https://s.threatbook.cn/report/f ... p1_enx64_office2013

再补充:这个文件是另一个帖子里的同名文件,但确实是之前报现在不报
https://bbs.kafan.cn/thread-2221386-1-1.html


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
vaedzy
发表于 2021-12-3 23:55:23 | 显示全部楼层
a27573 发表于 2021-12-3 23:46
在我让VT重新分析之前,我看见VT上的ESET是报i8041par.dat(应该是个sys)的(a variant of Generik.DMUM ...

貌似右键看了一眼 都在信誉里
ELG也没反应

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
00006666
发表于 2021-12-3 23:59:43 | 显示全部楼层
a27573 发表于 2021-12-3 23:46
在我让VT重新分析之前,我看见VT上的ESET是报i8041par.dat(应该是个sys)的(a variant of Generik.DMUM ...

样本有WHQL签名。
a27573
发表于 2021-12-4 00:01:09 | 显示全部楼层
00006666 发表于 2021-12-3 23:59
样本有WHQL签名。

之前有好几个WHQL Rootkit,ESET是杀了的
杀软厂商不是傻子

00006666
发表于 2021-12-4 00:10:55 | 显示全部楼层
本帖最后由 00006666 于 2021-12-4 00:13 编辑
a27573 发表于 2021-12-4 00:01
之前有好几个WHQL Rootkit,ESET是杀了的
杀软厂商不是傻子

不排除有后期错误加白的可能性,VMP本身就极大阻碍了逆向,同时又携带WHQL签名,驱动类的样本很难通过沙箱来行为分析,如果样本恶意行为比较少(没有明显的操作),错误加白可能性倒是挺高的。

SF的驱动有很多都是反作弊用途,有一些可能只有拦截急救箱等少数工具的行为。
a27573
发表于 2021-12-4 00:19:42 | 显示全部楼层
00006666 发表于 2021-12-4 00:10
不排除有后期错误加白的可能性,VMP本身就极大阻碍了逆向,同时又携带WHQL签名,驱动类的样本很难通过沙 ...

是的,所以我现在有点好奇是ESET被骗过了还是确实是误报
00006666
发表于 2021-12-4 00:29:09 | 显示全部楼层
本帖最后由 00006666 于 2021-12-4 00:31 编辑
a27573 发表于 2021-12-4 00:19
是的,所以我现在有点好奇是ESET被骗过了还是确实是误报

刚刚认真看了一下,你说的那个样本并没有WHQL签名,只是普通的代码签名。

这个样本ESET应该是错误加白了,可能是ESET尚未记录这个泄露签名,所以信任了样本。
a27573
发表于 2021-12-4 00:33:50 | 显示全部楼层
00006666 发表于 2021-12-4 00:29
刚刚认真看了一下,你说的那个样本并没有WHQL签名,只是普通的代码签名。

这个样本ESET应该是错误加白 ...

Microsoft Windows Hardware Compatibility Publisher就是WHQL签名啊
00006666
发表于 2021-12-4 00:35:06 | 显示全部楼层
本帖最后由 00006666 于 2021-12-4 00:46 编辑
a27573 发表于 2021-12-4 00:33
Microsoft Windows Hardware Compatibility Publisher就是WHQL签名啊

…,我这里没有下载,VT看了一下,显示的签名不是WHQL。
https://www.virustotal.com/gui/file/ed97cbf8f6a190dbc523da5885d833943bb3eb6a2121b525efff8bb357bad0ec/details
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-1-19 03:26 , Processed in 0.097332 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表