F-Secure, MalwareBazaar 拉黑器

anthonyqian

之前在 MT 论坛上的 MacDefender 用户的“启发”下，其实就已经意识到 F-Secure 自家云的“Trojan:W32/Generic.abch!fsmind”报法后缀“abch”可能是指代 MalwareBazaar，毕竟域名是https://bazaar.abuse.ch/。因此，这个报法应该是拉黑MB上的样本。但是F-S到底是怎么拉黑的，是无脑拉黑还是会分析后拉黑，不得而知。

最近 MT 上有在讨论 F-S 到底怎么处理 MB 上样本。众所周知，F-S 在国外忠实粉丝很多，因此有人就说 F-S 肯定不是无脑拉黑的，肯定是分析后才拉黑的！

好巧不巧，今天有一位匿名人士在MB上传了一个干净的样本（https://bazaar.abuse.ch/sample/1 ... f30c6264b17a6e33f6/），VT 链接：https://www.virustotal.com/gui/f ... 0f30c6264b17a6e33f6。这个样本有联想的数字签名，而且进一步核实发现应该是从联想官网下载的（https://download.lenovo.com/pccb ... g02w_v2_version.exe）。这个样本毫不意外的被卡巴斯基加白。尝试按误报上传微软，直接被自动机结案，说是非恶意的。

就这样一个干净的不能再干净的样本，被 F-S 的云报了，检测名就是之前讨论的“Trojan:W32/Generic.abch!fsmind”。



我真的服了，F-S 也不算小厂，竟然干这种无脑拉黑的事情。

我愿称 F-S 为 MalwareBazaar 拉黑器。。。

kuroandsan

而且上报样本，基本上一两周才回复。回复说一句已经拉黑了，还是红伞的报毒名



话说月神这是没反应过来吗

Jirehlov1234

上次听说fs这么拉黑的时候我就说了，bazaar这个源很不纯粹，不翻车就怪了。

Miostartos

FS的自家云本身就挺逗的，没记错好像是个纯MD5云
而且反馈速度巨慢
日志可以查，就在antivirus日志里面，一个log文件，叫啥忘了，FSAV.LOG?
他家日志倒是还算详细

anthonyqian

Jirehlov1234 发表于 2022-7-31 16:22
上次听说fs这么拉黑的时候我就说了，bazaar这个源很不纯粹，不翻车就怪了。

国外F-S口碑真的好，已经这么实锤了还有人护着 甚至G-Data那个研究员还亲自下场

Jirehlov1234

anthonyqian 发表于 2022-7-31 08:31
国外F-S口碑真的好，已经这么实锤了还有人护着 甚至G-Data那个研究员还亲自下场

瓜在哪，来个链接

anthonyqian

kuroandsan 发表于 2022-7-31 16:03
而且上报样本，基本上一两周才回复。回复说一句已经拉黑了，还是红伞的报毒名

我猜是F-S收到样本后先把样本上报给红伞去分析，红伞入库了他们就不管了，直接扔给你红伞的检测名结案。红伞那边没有结果反馈或是分析错误他们再去分析样本，然后告诉你样本被他们的安全云阻止了。
这样一来二去时间不长才怪

anthonyqian

Jirehlov1234 发表于 2022-7-31 16:33
瓜在哪，来个链接

https://malwaretips.com/threads/ ... .113453/post-997671

21楼之后

Jirehlov1234

这个样本还tm触发了bazaar的自动特征XFilesStealer，不知道无自动特征的样本会不会被fs拉黑

fs不会真的一点筛都没有吧。。。吧

anthonyqian

Jirehlov1234 发表于 2022-7-31 16:49
这个样本还tm触发了bazaar的自动特征XFilesStealer，不知道无自动特征的样本会不会被fs拉黑

fs不会真的 ...

最多是tag+第三方沙箱报告+VT报毒数的吧。。。