查看: 9318|回复: 26
收起左侧

[技术原创] 杀软对于低流行WHQL Rootkit上报响应速度统计

[复制链接]
wwwab
发表于 2022-2-9 09:50:07 | 显示全部楼层 |阅读模式
本帖最后由 wwwab 于 2022-2-16 12:56 编辑

样本帖地址:https://bbs.kafan.cn/thread-2226843-1-1.html
样本发现者:wwwab
样本发布者:@00006666
样本发布时间:2022年2月8日 12:50
已确认火绒和360在样本发布前扫描Kill
智量在样本发布后扫描Kill,并且测试时间为2022年2月8日 17:02,存在较大的时间差,测试结果存疑

上报时间线:
2022年2月8日 12:52,@anthonyqian 回复上报Avira
2022年2月8日 12:53,@IKARUS 回复上报Ikarus
2022年2月8日 12:54,@aboringman 回复第一次上报Symantec(第一次上报诺顿)
2022年2月8日 13:02,@正在缓冲 回复上报Avast
2022年2月8日 13:05,本人成功上报卡巴斯基,编号为KL-1236582
2022年2月8日 13:07,本人回复上报卡巴斯基
2022年2月8日 13:20,本人已成功上报金山毒霸
2022年2月8日 13:22,本人成功上报大蜘蛛DrWeb,编号为10261972
2022年2月8日 13:23,本人尝试第一次上报ESET(可能并未成功)
2022年2月8日 13:37,@漂洋过海123 回复第一次以个人通道上报Microsoft
2022年2月8日 上午,本人尝试上报Emsisoft和Comodo. 但是,很遗憾的是,可能未被受理或处理或者可能已经被拉白
2022年2月8日 13:45,@Solomondemeter 回复第二次上报ESET
2022年2月8日 14:04,金山毒霸已成功接收文件,并已确认扫描miss
2022年2月8日 15:57,本人成功第二次上报Symantec(第二次上报诺顿),编号为44250390
2022年2月8日 16:07,本人成功上报Sophos,编号为04896907
2022年2月8日 16:24,@ANY.LNK 回复第二次以企业通道上报Microsoft
2022年2月8日 21:48,@ANY.LNK 回复Microsoft答复样本已确定为Malware,但是没有推送更新升级之前扫描仍然为miss
2022年2月9日 08:05,@anthonyqian 回复卡巴斯基认为该文件无害,认为该文件干净,无需检测
2022年2月9日 09:23,金山毒霸回复目前后台正在鉴定该文件
2022年2月9日 09:51:30,本人尝试上报腾讯电脑管家(可能并未成功)
2022年2月9日 09:48,@jasperchau 回复第三次上报诺顿
2022年2月9日 10:04,@anthonyqian 回复第三次上报Symantec(第四次上报诺顿),上报BD,11:51回复内编辑补充上报咖啡、飞塔、Avast和Sophos
2022年2月9日 10:52,经本人核实,金山毒霸已人工入库,报毒名称为Win64.Rootkit.W64.jm.(kcloud)
2022年2月9日 11:50,@anthonyqian 回复已成功上报迈克菲McAfee
2022年2月9日 12:20,@anthonyqian 回复Sophos升级后入库,编号为04901262。但是,本人给Sophos的上报编号04896907仍然未被回复
2022年2月9日 14:25,@anthonyqian 回复飞塔已入库,报毒名称为W64/Agent.71A1!tr
2022年2月9日 14:37,卡巴斯基回复本人:
Hello,

Your request is in progress. Unfortunately, we are currently unable to set a timeframe for responding to your request. However, we will contact you additionally concerning the timeframe as soon as it is defined.

卡巴斯基回复@秋日之殇 :
Request for driver 21640859.sys was forwarded and we wait for a deeper analysis. We will notify about the result.

2022年2月9日 15:11,@biue 回复已上报FS
2022年2月9日 下午,BD回复@anthonyqian :
We have sent the file to our Virus Lab for analysis purposes and we will contact you with more information once this process has been successfully completed.

2022年2月9日 下午,@anthonyqian 已成功上报Ahnlab
2022年2月9日 15:36:22,本人再次尝试上报腾讯电脑管家
2022年2月9日 16:14,@LeeHS 测试Crowdstrike已Kill
2022年2月9日 19:07,@Eset小粉絲 回复ESET已人工入库,报毒名称为Win64/Agent.BCP trojan,用时2h-
2022年2月9日 21:01,@ICzcz 再次回复ESET已人工入库,报毒名称为Win64/Agent.BCP trojan
2022年2月9日 21:44,@anthonyqian 回复:“咖啡VT拉黑,但实机扫描不杀。”
2022年2月10日 上午,@anthonyqian 回复AhnLab已正式人工入库本地的病毒数据库(可能2022年2月9日晚已经云端拉黑),报毒名称为Trojan/Win.Generic
2022年2月10日 上午,经本人核实确认,AhnLab的完整报毒名称为Trojan/Win.Generic.C4960658
2022年2月10日 10:38:23,腾讯电脑管家已回复确认收到文件,并已确认扫描miss
2022年2月10日 13:50,DrWeb回复本人已人工入库,报毒名称为Trojan.NtRootKit.20243:
Greetings,
  

Your submission has been analyzed. A corresponding record has been added to the Dr.Web virus database and will be available with the next update.


Threat: Trojan.NtRootKit.20243




Thank you for the cooperation.

2022年2月10日 下午,经本人核实确认,BD已人工入库,报毒名称为Rootkit.Agent.AJJF,且BD系杀软皆已同步
2022年2月10日 15:54,@神龟Turmi 回复上报PaloAlto和Malwarebytes,第二次上报Ikarus

2022年2月11日,@神龟Turmi 回复Ikarus已于2022年2月10日 23:14人工入库,报毒名称为Virus/Malware
2022年2月11日 上午,经本人核实确认,Ikarus已人工入库,报毒名称为Trojan.Win64.Agent
2022年2月12日,@Jirehlov1234 确认卡巴斯基已人工入库(但是卡巴斯基并没有回复用户的上报邮件说明入库情况)
2022年2月12日,@haol 回复Avira认为该文件无害,认为该文件干净,无需检测
2022年2月12日,@haol 回复迈克菲McAfee EXTRA.DAT已人工入库,报毒名称为Generic.TRA

2022年2月13日,@神龟Turmi 确认卡巴斯基已经能够查杀,报毒名称为HEUR:Rootkit.Win64.Agent.gen
2022年2月15日 12:02,@anthonyqian 确认Avira现在报TR/Patched
2022年2月15日 20:29,@ Eset小粉絲 回复Avira已人工入库
2022年2月15日 22:02,@正在缓冲 回复Avast已人工入库,报毒名称为Win64:Trojan-gen
2022年2月16日,@anthonyqian 确认FS的报毒名称更新为Trojan.TR/RootKit.AV

Virustotal时间线(报毒厂商大于10家将不再列举):
2022年2月8日:1/68(报毒厂商为SecureAge APEX)
2022年2月9日:3/68(报毒厂商为SecureAge APEX、Webroot、Kingsoft)
2022年2月10日:9/68(报毒厂商为SecureAge APEX、Webroot、Kingsoft、AhnLab-V3、ESET-NOD32、Fortinet、McAfee、McAfee-GW-Edition、Rising)
2022年2月11日:18/68
……(中间省略)
2022年2月16日:31/69

实时响应速度(按照发帖后的响应时间顺序排列,包括上报,未上报指没人说已上报):
智量 - 未上报? - 1天内?
Webroot - 未上报 - 1天内
金山毒霸 - 已上报 - 1天内
飞塔 - 已上报 - 1天+
ESET - 已上报 - 1天半
Crowdstrike - 未上报 - 1天半
AhnLab - 已上报 - 1天半+
Fortinet、McAfee、McAfee-GW-Edition、Rising - 未上报 - 1天半+/2天-(其余的Virustotal上面的杀软数据将不再进行统计)
DrWeb - 2天+
BD - 2天+
卡巴斯基 - 已上报 - 4天

上报响应速度(按照上报后的响应时间顺序排列):
金山毒霸 - 1天内
飞塔 - 1天内
ESET - 1天内
AhnLab - 1天内
DrWeb - 2天+
BD - 1天+

特殊情况:
1. Microsoft也是1天内回复响应样本为Malware,但是迟迟没有推送能够Kill掉此样本的病毒数据库的更新升级
2. Sophos在@anthonyqian 那里的响应时间为1天内,在我本人这里到现在都还没有用邮件来回复过我?
3.上报多次(大于等于两次)的再入库的杀软厂商,将不再计算其“上报响应速度”

本帖于2022年2月16日最后更新,此后无特殊情况将不再继续更新。

顺祝时祺,
最后更新人员:wwwab
最后更新时间:2022年2月16日

评分

参与人数 1分享 +3 人气 +2 收起 理由
屁颠屁颠 + 3 + 2 版区有你更精彩: )

查看全部评分

00006666
发表于 2022-2-9 11:06:01 | 显示全部楼层
个人建议可以定时截图VT扫描结果
神龟Turmi
发表于 2022-2-9 14:26:48 | 显示全部楼层
00006666 发表于 2022-2-9 11:06
个人建议可以定时截图VT扫描结果

你这是暴露了毒组有120权限啊

评分

参与人数 1人气 +2 收起 理由
00006666 + 2

查看全部评分

wwwab
 楼主| 发表于 2022-2-9 14:40:21 | 显示全部楼层
帖子已开放,实时更新中
NICO-COOPER
发表于 2022-2-9 14:55:14 | 显示全部楼层
sophos是我目前试用期内上报样本后唯一有人工回复的fs、avira、emsisoft也都上报过,只收到过提交后的自动回复,至今未收到鉴定结果的回复。emsi是小厂也就算了,fs和avira可能是我运气不好吧
vaedzy
头像被屏蔽
发表于 2022-2-9 17:07:48 | 显示全部楼层
看到rootkit 就能想到06
ericdj
发表于 2022-2-9 18:40:04 | 显示全部楼层
aboringman 应该是上传到铁壳的

评分

参与人数 1人气 +1 收起 理由
wwwab + 1 感谢解答: )

查看全部评分

Miostartos
发表于 2022-2-9 20:48:51 | 显示全部楼层
NICO-COOPER 发表于 2022-2-9 14:55
sophos是我目前试用期内上报样本后唯一有人工回复的fs、avira、emsisoft也都上报过,只收到过提交后 ...

FS的鉴定回复非常,非常慢
我1月22号传过两个,2月2号才收到回复
神龟Turmi
发表于 2022-2-10 15:54:23 | 显示全部楼层
已上报PaloAlto
已上报Ikarus
已上报Malwarebytes
神龟Turmi
发表于 2022-2-11 14:24:26 | 显示全部楼层
Ikarus回复邮件,证实并分类为“Virus/Malware”
回复时间(+8时区)2021/2/10 23:14
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 22:26 , Processed in 0.140317 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表