杀软对于低流行WHQL Rootkit上报响应速度统计

wwwab

样本帖地址：https://bbs.kafan.cn/thread-2226843-1-1.html
样本发现者：wwwab
样本发布者：@00006666
样本发布时间：2022年2月8日 12:50
已确认火绒和360在样本发布前扫描Kill
智量在样本发布后扫描Kill，并且测试时间为2022年2月8日 17:02，存在较大的时间差，测试结果存疑

上报时间线：
2022年2月8日 12:52，@anthonyqian 回复上报Avira
2022年2月8日 12:53，@IKARUS 回复上报Ikarus
2022年2月8日 12:54，@aboringman 回复第一次上报Symantec（第一次上报诺顿）
2022年2月8日 13:02，@正在缓冲 回复上报Avast
2022年2月8日 13:05，本人成功上报卡巴斯基，编号为KL-1236582
2022年2月8日 13:07，本人回复上报卡巴斯基
2022年2月8日 13:20，本人已成功上报金山毒霸
2022年2月8日 13:22，本人成功上报大蜘蛛DrWeb，编号为10261972
2022年2月8日 13:23，本人尝试第一次上报ESET（可能并未成功）
2022年2月8日 13:37，@漂洋过海123 回复第一次以个人通道上报Microsoft
2022年2月8日 上午，本人尝试上报Emsisoft和Comodo. 但是，很遗憾的是，可能未被受理或处理或者可能已经被拉白
2022年2月8日 13:45，@Solomondemeter 回复第二次上报ESET
2022年2月8日 14:04，金山毒霸已成功接收文件，并已确认扫描miss
2022年2月8日 15:57，本人成功第二次上报Symantec（第二次上报诺顿），编号为44250390
2022年2月8日 16:07，本人成功上报Sophos，编号为04896907
2022年2月8日 16:24，@ANY.LNK 回复第二次以企业通道上报Microsoft
2022年2月8日 21:48，@ANY.LNK 回复Microsoft答复样本已确定为Malware，但是没有推送更新升级之前扫描仍然为miss
2022年2月9日 08:05，@anthonyqian 回复卡巴斯基认为该文件无害，认为该文件干净，无需检测
2022年2月9日 09:23，金山毒霸回复目前后台正在鉴定该文件
2022年2月9日 09:51:30，本人尝试上报腾讯电脑管家（可能并未成功）
2022年2月9日 09:48，@jasperchau 回复第三次上报诺顿
2022年2月9日 10:04，@anthonyqian 回复第三次上报Symantec（第四次上报诺顿），上报BD，11:51回复内编辑补充上报咖啡、飞塔、Avast和Sophos
2022年2月9日 10:52，经本人核实，金山毒霸已人工入库，报毒名称为Win64.Rootkit.W64.jm.(kcloud)
2022年2月9日 11:50，@anthonyqian 回复已成功上报迈克菲McAfee
2022年2月9日 12:20，@anthonyqian 回复Sophos升级后入库，编号为04901262。但是，本人给Sophos的上报编号04896907仍然未被回复
2022年2月9日 14:25，@anthonyqian 回复飞塔已入库，报毒名称为W64/Agent.71A1!tr
2022年2月9日 14:37，卡巴斯基回复本人：

Hello,

Your request is in progress. Unfortunately, we are currently unable to set a timeframe for responding to your request. However, we will contact you additionally concerning the timeframe as soon as it is defined.

卡巴斯基回复@秋日之殇 ：

Request for driver 21640859.sys was forwarded and we wait for a deeper analysis. We will notify about the result.

2022年2月9日 15:11，@biue 回复已上报FS
2022年2月9日 下午，BD回复@anthonyqian ：

We have sent the file to our Virus Lab for analysis purposes and we will contact you with more information once this process has been successfully completed.

2022年2月9日 下午，@anthonyqian 已成功上报Ahnlab
2022年2月9日 15:36:22，本人再次尝试上报腾讯电脑管家
2022年2月9日 16:14，@LeeHS 测试Crowdstrike已Kill
2022年2月9日 19:07，@Eset小粉絲 回复ESET已人工入库，报毒名称为Win64/Agent.BCP trojan，用时2h-
2022年2月9日 21:01，@ICzcz 再次回复ESET已人工入库，报毒名称为Win64/Agent.BCP trojan
2022年2月9日 21:44，@anthonyqian 回复：“咖啡VT拉黑，但实机扫描不杀。”
2022年2月10日 上午，@anthonyqian 回复AhnLab已正式人工入库本地的病毒数据库（可能2022年2月9日晚已经云端拉黑），报毒名称为Trojan/Win.Generic
2022年2月10日 上午，经本人核实确认，AhnLab的完整报毒名称为Trojan/Win.Generic.C4960658
2022年2月10日 10:38:23，腾讯电脑管家已回复确认收到文件，并已确认扫描miss
2022年2月10日 13:50，DrWeb回复本人已人工入库，报毒名称为Trojan.NtRootKit.20243：

Greetings,
  

Your submission has been analyzed. A corresponding record has been added to the Dr.Web virus database and will be available with the next update.


Threat: Trojan.NtRootKit.20243




Thank you for the cooperation.

2022年2月10日 下午，经本人核实确认，BD已人工入库，报毒名称为Rootkit.Agent.AJJF，且BD系杀软皆已同步
2022年2月10日 15:54，@神龟Turmi 回复上报PaloAlto和Malwarebytes，第二次上报Ikarus

2022年2月11日，@神龟Turmi 回复Ikarus已于2022年2月10日 23:14人工入库，报毒名称为Virus/Malware
2022年2月11日 上午，经本人核实确认，Ikarus已人工入库，报毒名称为Trojan.Win64.Agent
2022年2月12日，@Jirehlov1234 确认卡巴斯基已人工入库（但是卡巴斯基并没有回复用户的上报邮件说明入库情况）
2022年2月12日，@haol 回复Avira认为该文件无害，认为该文件干净，无需检测
2022年2月12日，@haol 回复迈克菲McAfee EXTRA.DAT已人工入库，报毒名称为Generic.TRA

2022年2月13日，@神龟Turmi 确认卡巴斯基已经能够查杀，报毒名称为HEUR:Rootkit.Win64.Agent.gen
2022年2月15日 12:02，@anthonyqian 确认Avira现在报TR/Patched
2022年2月15日 20:29，@ Eset小粉絲 回复Avira已人工入库
2022年2月15日 22:02，@正在缓冲 回复Avast已人工入库，报毒名称为Win64:Trojan-gen
2022年2月16日，@anthonyqian 确认FS的报毒名称更新为Trojan.TR/RootKit.AV

Virustotal时间线（报毒厂商大于10家将不再列举）：
2022年2月8日：1/68（报毒厂商为SecureAge APEX）
2022年2月9日：3/68（报毒厂商为SecureAge APEX、Webroot、Kingsoft）
2022年2月10日：9/68（报毒厂商为SecureAge APEX、Webroot、Kingsoft、AhnLab-V3、ESET-NOD32、Fortinet、McAfee、McAfee-GW-Edition、Rising）
2022年2月11日：18/68
……（中间省略）
2022年2月16日：31/69

实时响应速度（按照发帖后的响应时间顺序排列，包括上报，未上报指没人说已上报）：
智量 - 未上报？ - 1天内？
Webroot - 未上报 - 1天内
金山毒霸 - 已上报 - 1天内
飞塔 - 已上报 - 1天+
ESET - 已上报 - 1天半
Crowdstrike - 未上报 - 1天半
AhnLab - 已上报 - 1天半+
Fortinet、McAfee、McAfee-GW-Edition、Rising - 未上报 - 1天半+/2天-（其余的Virustotal上面的杀软数据将不再进行统计）
DrWeb - 2天+
BD - 2天+
卡巴斯基 - 已上报 - 4天

上报响应速度（按照上报后的响应时间顺序排列）：
金山毒霸 - 1天内
飞塔 - 1天内
ESET - 1天内
AhnLab - 1天内
DrWeb - 2天+
BD - 1天+

特殊情况：
1. Microsoft也是1天内回复响应样本为Malware，但是迟迟没有推送能够Kill掉此样本的病毒数据库的更新升级
2. Sophos在@anthonyqian 那里的响应时间为1天内，在我本人这里到现在都还没有用邮件来回复过我？
3.上报多次（大于等于两次）的再入库的杀软厂商，将不再计算其“上报响应速度”

本帖于2022年2月16日最后更新，此后无特殊情况将不再继续更新。

顺祝时祺，
最后更新人员：wwwab
最后更新时间：2022年2月16日

00006666

个人建议可以定时截图VT扫描结果

神龟Turmi

00006666 发表于 2022-2-9 11:06
个人建议可以定时截图VT扫描结果

你这是暴露了毒组有120权限啊

wwwab

帖子已开放，实时更新中

NICO-COOPER

sophos是我目前试用期内上报样本后唯一有人工回复的fs、avira、emsisoft也都上报过，只收到过提交后的自动回复，至今未收到鉴定结果的回复。emsi是小厂也就算了，fs和avira可能是我运气不好吧

vaedzy

看到rootkit 就能想到06

ericdj

aboringman 应该是上传到铁壳的

Miostartos

NICO-COOPER 发表于 2022-2-9 14:55
sophos是我目前试用期内上报样本后唯一有人工回复的fs、avira、emsisoft也都上报过，只收到过提交后 ...

FS的鉴定回复非常，非常慢
我1月22号传过两个，2月2号才收到回复

神龟Turmi

已上报PaloAlto
已上报Ikarus
已上报Malwarebytes

神龟Turmi

Ikarus回复邮件，证实并分类为“Virus/Malware”
回复时间（+8时区）2021/2/10 23:14