whql sf rootkit 4x

显示全部楼层 · 发表于 2022-6-11 08:37:52

微软：目前一个不报，已经上报
我倒是要看看微软这回怎么处理

显示全部楼层 · 发表于 2022-6-11 13:15:56

Hello,

Detection HEUR:Trojan.Win64.MalDrv.gen will be added after testing (3-5 days).

显示全部楼层 · 发表于 2022-6-11 13:29:45

wwwab 发表于 2022-6-11 13:15

看来卡巴新搞了个针对恶意驱动的通杀？

显示全部楼层 · 发表于 2022-6-11 14:05:24

不过卡巴至少云拉黑一下啊，现在都还没拉黑

显示全部楼层 · 发表于 2022-6-11 14:06:45

lvseqiji 发表于 2022-6-11 13:29
看来卡巴新搞了个针对恶意驱动的通杀？

这个通杀已经出来好久了

显示全部楼层 · 发表于 2022-6-11 14:31:56

lvseqiji 发表于 2022-6-11 14:05
不过卡巴至少云拉黑一下啊，现在都还没拉黑

有WHQL，云拉黑本地端仍然检测不到的，没用，还是得本地库去搞的

显示全部楼层 · 发表于 2022-6-11 14:34:23

wwwab 发表于 2022-6-11 14:31
有WHQL，云拉黑本地端仍然检测不到的，没用，还是得本地库去搞的

有用的，但是需要将本地文件信誉缓存清理一下，然后样本信誉就会变为数字签名首信任。

显示全部楼层 · 发表于 2022-6-11 14:39:45

秋日之殇发表于 2022-6-11 14:34
有用的，但是需要将本地文件信誉缓存清理一下，然后样本信誉就会变为数字签名首信任。

我感觉要本地库，有WHQL云端UDS拉黑没用

有一次就是上报RootKit说被内部base检测到了，检测将在下一次更新中添加

然后过了几天几个人测都扫不出来，vt和opentip都能检出红了

再回复过去就说it will be fixed（指这个问题，不是指误报）

而如果是在附加的文件中发现了新的恶意软件，检测将在下一次更新中添加，就从来不会出这种问题的

就很玄学……

显示全部楼层 · 发表于 2022-6-11 14:45:43

wwwab 发表于 2022-6-11 14:39
我感觉要本地库，有WHQL云端UDS拉黑没用

有一次就是上报RootKit说被内部base检测到了，检测将在下一次 ...

受信任样本卡巴入库后还检测不出来大概率是由于C:\ProgramData\Kaspersky Lab\AVP21.3\Report\25文件夹下的信誉缓存没有清。至于你说的那个问题，我只遇到过一次，卡巴回复由于某些技术原因更新没有正常发布到某些终端，导致有些用户无法检测到该样本。

显示全部楼层 · 发表于 2022-6-11 14:48:29

秋日之殇发表于 2022-6-11 14:45
受信任样本卡巴入库后还检测不出来大概率是由于C:\ProgramData\Kaspersky Lab\AVP21.3\Report\25文件夹下 ...

更新也归newvirus管？

而且云拉黑完全没作用，vt都UDS了好几个人客户端还是扫不出来，最后newvirus有个分析师回复我说将会修复

[病毒样本] whql sf rootkit 4x