收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Devos Ransomware x1 (3/31)
1 ...67891011121314... 15下一页
返回列表 发新帖
楼主: anthonyqian
 收起左侧

[病毒样本] Devos Ransomware x1 (3/31)

  [复制链接]
ANY.LNK
发表于 2022-4-3 18:44:43 | 显示全部楼层
lvzhiwei 发表于 2022-4-3 18:38
纳尼,病毒库还能外包啊

之前在油管上某个测试安全软件的博主(似乎叫PCSecurity,很早以前似乎是2018年的时候的一个视频说的,不记得了)。但已经纳入微软麾下的应该不叫外包了,以及核心技术应该还是捏在微软自己手里的
回复

举报

wwwab
发表于 2022-4-3 18:45:14 | 显示全部楼层
ANY.LNK 发表于 2022-4-3 18:37
微软如果VT上或其他地方报毒的安全软件太少就可能会出现这种问题……据说可能是因为微软之前收购了一批小 ...

之前上报VT上面检测率很低的常规Rootkit和WHQL Rootkit都还好啊
回复

举报

ANY.LNK
发表于 2022-4-3 19:00:22 | 显示全部楼层
wwwab 发表于 2022-4-3 18:45
之前上报VT上面检测率很低的常规Rootkit和WHQL Rootkit都还好啊

怀疑微软其实有这些驱动的源码,但安全部门和驱动审核部门不是一块儿的(所以导致证书被签发),后来用户以Malware上报到了微软安全中心因此调一下源码马上分析出来了。

此外,你之前发过报告的wfp_的那个驱动和母体,其实一开始要上报时也是全部加白Not malware(似乎恶意软件的开发者也有企业账户并以误报上报过这些文件),我这边上报后才更改了驱动的检测为Malware(那个释放器csrss.exe至今还是误判为not malware的,VT仍然低报毒)。

另外我这边遇到你提到过的问题不是一次两次了,目前只能寄希望于报毒的安全软件多一些时再上报或者连同Adobe的加载器一同上报一下(之前某个sf利用腾讯TP程序的白加黑就是在VT上低报毒的情况下连同白文件一同上报后入库的,单纯的dll不使用特殊的加载器可能不会抛、跑出行为)
回复

举报

wwwab
发表于 2022-4-3 19:04:48 | 显示全部楼层
ANY.LNK 发表于 2022-4-3 19:00
怀疑微软其实有这些驱动的源码,但安全部门和驱动审核部门不是一块儿的(所以导致证书被签发),后来用户 ...
其实一开始要上报时也是全部加白Not malware(似乎恶意软件的开发者也有企业账户并以误报上报过这些文件)

微软那个破系统好像会自动拉白有有效数签和有有效WHQL的文件
回复

举报

ANY.LNK
发表于 2022-4-3 19:17:11 | 显示全部楼层
wwwab 发表于 2022-4-3 19:04
微软那个破系统好像会自动拉白有有效数签和有有效WHQL的文件

这和加白不一样,自从带有效WHQL签名的Netfilter Rootkit出现后,微软不敢再直接加白有效WHQL签名的文件了,虽然主程序仍在第一时间内判为not malware,但不会草草结案,其下的多个解压出来的字节段会继续保持pending。有效数签的依据我的经验来看,只会信任Microsoft、Google等少数几个大公司的有效证书,其它的带有效数签的文件和不带数签的文件是给予同等对待的。

而你之前提到的那个文件,在我上报时所有的字节段都是Not malware,显然是被其他人上报过的
回复

举报

真小读者
发表于 2022-4-3 19:20:23 | 显示全部楼层
Hacker-云 发表于 2022-4-3 17:22
怎么看完这个帖子,突然感觉ESET没啥存在的意义?真就是扫描器的感觉,纯靠扫描,烂大街的毒,是个杀软就能 ...

样本区的样本,普通人一般情况下都很难遇到。样本区对于大多数参与扫描、测试的人来说,主要是为了获得一种满足感,自己用的杀软报了,别人的没报,我的杀软真牛X,你们的都是渣渣
不测试样本的话,日常使用各大主流杀软效果没什么差距。平时的安全主要还是靠习惯,不随便插优盘、点链接,运行非常规软件用沙盘、虚拟机之类的等等。杀软只是给偶尔疏忽兜个底,毕竟谁还没个手欠走神的时候。

评分

参与人数 1人气 +1 收起 理由
jinglu + 1 赞一个!

查看全部评分

回复

举报

wwwab
发表于 2022-4-3 19:20:57 | 显示全部楼层
ANY.LNK 发表于 2022-4-3 19:17
这和加白不一样,自从带有效WHQL签名的Netfilter Rootkit出现后,微软不敢再直接加白有效WHQL签名的文件 ...

你可以看看我和那家WHQL Rootkit病毒厂商的对话(部分):https://pan.huang1111.cn/s/8xPBUQ
回复

举报

真小读者
发表于 2022-4-3 19:29:34 | 显示全部楼层
mcafee 个人版解压后运行miss,文件、图片被加密,wps和输入法被破坏(图片无法用wps图片打开,输入法无法输入中文)
回复

举报

ANY.LNK
发表于 2022-4-3 19:36:05 | 显示全部楼层
本帖最后由 ANY.LNK 于 2022-4-3 19:53 编辑
wwwab 发表于 2022-4-3 19:20
你可以看看我和那家WHQL Rootkit病毒厂商的对话(部分):https://pan.huang1111.cn/s/8xPBUQ

他们拥有账户实锤了(不然怎么会有沟通这回事)

以及微软这批恶意软件还剩下一个wfp的驱动、一个1f343d的文件和原始的csrss.exe没有入库。你那边是否有SAID?我要把这批样本再上报一遍。或者麻烦一下你帮忙上报一下
回复

举报

wwwab
发表于 2022-4-3 20:02:53 | 显示全部楼层
ANY.LNK 发表于 2022-4-3 19:36
他们拥有账户实锤了(不然怎么会有沟通这回事)

以及微软这批恶意软件还剩下一个wfp的驱动、一个1f343 ...

企业通道不填写SAID也会有人分析回复,只是优先级慢一点而已
我之前的上报基本上都是直接这么操作的

但是,个人通道基本上是漏报不管只管误报

评分

参与人数 1人气 +2 收起 理由
ANY.LNK + 2 感谢解答: )

查看全部评分

回复

举报

下一页 »
1 ...67891011121314... 15下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-6 12:35 , Processed in 0.083354 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表