传奇sf rootkit 2x

发呆的阿狸~

ekincheng 发表于 2021-11-21 12:11
传奇SF 架设的好好的， 该赚的钱商城弄了赚...
  不知道老要弄点病毒出来干嘛。。。

正如28楼说的SF之间竞争激烈甚至现在都会针对360系统急救箱避免自己被杀，
因为之前他们互相借用系统急救箱来消灭竞争对手的驱动，所以现在基本自己都做了对360急救箱针对。

a27573

anthonyqian 发表于 2021-11-20 17:55
ESET  ELG

A946D07DFCA5.exe - 文件安全可用

在我让VT重新分析之前，我看见VT上的ESET是报i8041par.dat（应该是个sys）的（a variant of Generik.DMUMXM），另一个文件不清楚
重新分析之后，包括ESET在内的数个杀软解除了报毒

@ICzcz @Eset小粉絲
怎么回事？

补充：目前仍可以看到微步上11月22日的扫描结果

https://s.threatbook.cn/report/f ... p1_enx64_office2013

再补充：这个文件是另一个帖子里的同名文件，但确实是之前报现在不报
https://bbs.kafan.cn/thread-2221386-1-1.html

vaedzy

a27573 发表于 2021-12-3 23:46
在我让VT重新分析之前，我看见VT上的ESET是报i8041par.dat（应该是个sys）的（a variant of Generik.DMUM ...

貌似右键看了一眼 都在信誉里
ELG也没反应

00006666

a27573 发表于 2021-12-3 23:46
在我让VT重新分析之前，我看见VT上的ESET是报i8041par.dat（应该是个sys）的（a variant of Generik.DMUM ...

样本有WHQL签名。

a27573

00006666 发表于 2021-12-3 23:59
样本有WHQL签名。

之前有好几个WHQL Rootkit，ESET是杀了的
杀软厂商不是傻子

00006666

a27573 发表于 2021-12-4 00:01
之前有好几个WHQL Rootkit，ESET是杀了的
杀软厂商不是傻子

不排除有后期错误加白的可能性，VMP本身就极大阻碍了逆向，同时又携带WHQL签名，驱动类的样本很难通过沙箱来行为分析，如果样本恶意行为比较少(没有明显的操作)，错误加白可能性倒是挺高的。

SF的驱动有很多都是反作弊用途，有一些可能只有拦截急救箱等少数工具的行为。

a27573

00006666 发表于 2021-12-4 00:10
不排除有后期错误加白的可能性，VMP本身就极大阻碍了逆向，同时又携带WHQL签名，驱动类的样本很难通过沙 ...

是的，所以我现在有点好奇是ESET被骗过了还是确实是误报

00006666

a27573 发表于 2021-12-4 00:19
是的，所以我现在有点好奇是ESET被骗过了还是确实是误报

刚刚认真看了一下，你说的那个样本并没有WHQL签名，只是普通的代码签名。

这个样本ESET应该是错误加白了，可能是ESET尚未记录这个泄露签名，所以信任了样本。

a27573

00006666 发表于 2021-12-4 00:29
刚刚认真看了一下，你说的那个样本并没有WHQL签名，只是普通的代码签名。

这个样本ESET应该是错误加白 ...

Microsoft Windows Hardware Compatibility Publisher就是WHQL签名啊

00006666

a27573 发表于 2021-12-4 00:33
Microsoft Windows Hardware Compatibility Publisher就是WHQL签名啊

…，我这里没有下载，VT看了一下，显示的签名不是WHQL。
https://www.virustotal.com/gui/file/ed97cbf8f6a190dbc523da5885d833943bb3eb6a2121b525efff8bb357bad0ec/details