杀软对低流行性 Linux 间谍软件的响应速度

85683213

这是我在 Linux 服务器上发现的样本，稍微逆向确认恶意后 2021/12/13 在样本区分享

2021-12-13 18:37 由 @xiaobao233 上传 VirusTotal，此时没有任何杀软判定为恶意，静态与动态分析也无恶意迹象

因为帖子加了权限，而且样本仅分享一天，所以很少人下载也几乎没有人手动上报，利于后续观察响应速度

当时将 VirusTotal 的结果纪录于 6 楼

2021-12-13 21:25:43 瑞星第一个入库 Stealer.Agent!1.DB0C (CLASSIC)，猜测是官人在卡饭下载了样本
2021-12-13 23:41:09 两小时内 McAfee-GW-Edition 利用 VirusTotal 唯一的数据自动入库 Artemis!Trojan
2021-12-16 13:35:53 三天后 Kaspersky 入库 HEUR:Trojan.Linux.Agent.kp
2021-12-16 19:07:25 几小时后 Lionic 收到来自 Kaspersky 的库 Trojan.Linux.Agent.4!c
2021-12-18 15:57:03 Avast 和 AVG 入库 Other:Malware-gen [Trj]；
                                  Microsoft 入库 Program:Win32/Uwamson.A!ml，
                                  我怀疑两家公司都没有实际进行人工分类，甚至有互抄的嫌疑
2021-12-18 22:09:34 几小时候 TrendMicro-HouseCall 入库 Trojan.Linux.UWAMSON.USELVLI21
2021-12-19 05:07:24 再过几小时 TrendMicro 入库 Trojan.Linux.UWAMSON.USELVLI21
                                  很明显趋势科技抄 Microsoft 的结果，不过还好有将 Win32 改成 Linux
2021-12-19 12:59:00 Microsoft 变更了分类名称 Trojan:Script/Sabsik.FL.B!ml，但是很显然是错的
2021-12-19 19:03:44 Fortinet 入库 PossibleThreat ，可能依照 VirusTotal 的结果；
                                  Microsoft 变回 Program:Win32/Uwamson.A!ml
2021-12-19 23:37:35 Microsoft 再次变更分类名称 Trojan:Win32/Mirai!ml
2021-12-20 11:29:08 江民入库 Trojan.Linux.bte；
                                  CAT-QuickHeal 入库 Elf.Trojan.A3832092
                                  这两个时间点和名称比较特别，看不出与别人的关联
2021-12-21 11:12:36 BitDefender 入库 Trojan.Linux.Agent.JHA
                                  Ad-Aware、Emsisoft、eScan、FireEye 、GData 使用 BitDefender 病毒库，他们也侦测到了
                                  MAX 入库 Malware (ai Score=85)，猜测 BitDefender 占了比较大的权重
2021-12-21 18:38:06 几小时后 BitDefender 下游 Arcabit 入库 Trojan.Linux.Agent.JHA；
                                  真巧，Symantec 也入库了 Trojan.Gen.NPE
2021-12-22 11:24:40 在几个小时后 ALYac 和 Ikarus 入库 Trojan.Linux.Agent，虽然有点延迟，但仍猜是 BD 系的杀软
2021-12-23 19:50:30 Microsoft 又修改了一次分类 Backdoor:Linux/Multiverze，这次终于比较接近了
2021-12-25 10:53:31 Microsoft 再次修改分类 Trojan:Linux/Multiverze
2021-12-28 11:37:43 Microsoft 又改了一次 Trojan:Win32/Mirai!ml；
                                  F-Secure 入库 Malware.LINUX/Agent.qlzmu，看起来是用 Avira 的库
2021-12-28 19:37:28 Avira (no cloud) 入库 LINUX/Agent.qlzmu，本地比云端慢一些
2021-12-29 11:16:01 Cynet 入库 Malicious (score: 99)，Avira 显然成了最后一根稻草
2022-01-11 16:27:52 接近一个月后 ESET-NOD32 入库 A Variant Of Linux/Spy.Agent.AN；
                                 
后续再查看，
Microsoft 仍然不断变换，Trend Micro 和 McAfee 无动于衷；
瑞星将此项目云端化 Stealer.Agent!1.DB0C (CLOUD)；
(漏看) Sangfor Engine Zero 入库 Trojan.Linux.Agent.kp ，报毒名称接近 Kaspersky；
(漏看) Zillya 入库 Trojan.Agent.Linux.4787，报毒时程接近 Avira；
(漏看) F-Secure 加白(？

响应速度(瑞星除外) (半)人工分析，未知，作弊

Kaspersky	3天
Avast	5天
Microsoft	5天
Trend Micro	6天
Fortinet	6天
江民	7天
CAT-QuickHeal	7天
BitDefender	8天
Symantec	8天
Avira	15天
ESET	29天

微软谜之机器学习：
Program:Win32/Uwamson.A!ml、Trojan:Script/Sabsik.FL.B!ml、Trojan:Win32/Mirai!ml、Backdoor:Linux/Multiverze、Trojan:Linux/Multiverze

BitDefender 相关杀软：
Ad-Aware、Emsisoft、eScan、FireEye 、GData、Arcabit、Ikarus、(MAX)、(Symantec)

Avira 相关杀软：
F-Secure、(Zillya)、(Cynet)

Microsoft 相关杀软：
<TrendMicro>、(Fortinet)、(江民)、(CAT-QuickHeal)

Kaspersky 相关杀软：
Lionic、(Sangfor Engine Zero)

VirusTotal 相关杀软：
McAfee-GW-Edition

后话：
趋势科技是世界前几大的资讯安全公司，竟然毫不掩饰直接抄别人的扫描结果，让我感到非常难过，但同时也觉得好笑。因为他们竟然不用 Kaspersky 或 ESET 这些有品质的数据，反而去抄 Microsoft 这种误报严重又没有严谨分类的数据，他们知道他们抄的报毒名只出现过一天就没再出现了吗？另一个让我比较难过的是我现在正在使用的 ESET，我其实有透过 EIS 匿名上报，内容还写的比较完整，但是他们还是用了接近一个月来入库。其实这已经侧面反映了 AV-Comparatives 的结果，但我认为他们还是应该透过一些自动分析技术辅助人工加速入库，避免样本堆积过多。

救命稻草

看来你第一次上传是0，那就不是前面入库的了。

846472713

楼主有心了，还有这么细致认真的

wajika

瑞星云反应速度处理国外的样本其实很快，不算作弊的情况下

kuroandsan

辛苦测试。
小a感觉上不怎么分类，样本区逛一圈全是malware-gen

正在缓冲

kuroandsan 发表于 2022-1-24 10:20
辛苦测试。
小a感觉上不怎么分类，样本区逛一圈全是malware-gen

病毒、木马、勒索、KillMBR、蠕虫、广告等可以入库的都算恶意软件，Malware-gen可以用在所有样本上

LSPD

微软:我先入库了再说，管他是什么毒

Miostartos

avast和AVG是同库，因为是一家公司（Norton收购了收购了AVG和bullguard的avast和avira，但bullguard/Norton/avast(avg)/avira尚且分开运作，avast和avg则是完全整合了，原Symantec企业版部分卖给了博通，目前Symantec和Norton还是同技术），反正他家报毒名敷衍的要死全是各种gen
FS主引擎就是OEM Avira的，报毒肯定一样
ALYac以前的个人版杀毒软件确实是OEM BD的，这家是韩国的，曾经有免费个人版图标是个胶囊（现在点进企业版官网还有个胶囊）  ，企业版不清楚
Ikarus没记错的话已经被fireeye收购了，但目前还是自己的引擎
咖啡只要报了 Artemis!XXXXXXX 就不会改了，这是月神的拉黑，当然体现到客户端不一定这么报，有可能报JTI或者GTI什么的
Lionic是台湾的一家新信安企业，不过看报毒也是VT一大抄
Zillya是乌克兰的，就检测率来说应该也是照抄大王

hipoxiaxxx

Miostartos 发表于 2022-1-24 16:49
avast和AVG是同库，因为是一家公司（Norton收购了收购了AVG和bullguard的avast和avira，但bullguard/Norton ...

lkarus没有被收购

Symphony把迈克菲企业业务和FireEye收购了

ALYac用的自己的Tera引擎和Bitdefender 引擎

Miostartos

hipoxiaxxx 发表于 2022-1-24 18:52
lkarus没有被收购

Symphony把迈克菲企业业务和FireEye收购了

那就是lkarus代{过}{滤}理了fireeye的东西
反正这俩是有关联的