WHQL RootKit 传奇私-FuRootKit 32X

显示全部楼层 · 发表于 2022-11-27 16:30:55

ANY.LNK 发表于 2022-11-27 14:04
2周过去，微软仍然只是鉴定为Malware，并未入库
@xiaoruanruan 麻烦处理一下

这是微软总部管的，微软中国没有权限。

只能再次上报催一下。

显示全部楼层 · 发表于 2022-11-27 16:36:00

wwwab 发表于 2022-11-27 16:30
这是微软总部管的，微软中国没有权限。

只能再次上报催一下。

怀疑是下发更新时候的问题，微软回我“签名保持就位”。

我想，既然是微软的子公司，可以用来上报的企业账号和SAID应该是有的，也许他们可以用和我们类似的途径进行上报，或许权重会高一些。

显示全部楼层 · 发表于 2022-11-27 16:39:24

本帖最后由 wwwab 于 2022-11-27 16:55 编辑

ANY.LNK 发表于 2022-11-27 16:36
怀疑是下发更新时候的问题，微软回我“签名保持就位”。

我想，既然是微软的子公司，可以用来上报的企 ...

这事儿又和他们无关他们怎么能帮你用他们子公司的东西呢？。。。

可能是检测还没做完？或者，WHQL还要等一会儿需要请示上级？

这里还有几个小插曲，这批样本我分了4个包在接近同一时间段上报，都标记为了Malware，包括我压缩包里面有一个无效缓存文件也是sys后缀的没签名损坏也跑不了的也是，然后那个已经被加上检测了，WHQL的都还没加，我甚至怀疑他都还没有分析完成，或者准备加通杀或者机学加不成没加成？然后后面还有一批wowocock那2个同源样本隔了好几天也是我上报的，然后那两个WHQL RootKit驱动已经全部入库并且正式添加检测了。。。

这里PS一句. 按照微软的分析实力和水平，建议催上报也要说清楚fn，我就怕可别到了后面被当成fp就被瞎搞给整没了

还有一件事，就是，secure@microsoft.com目前到现在为止除了系统自动回复信以外之外，也确实再也没有给我回过信。。。

显示全部楼层 · 发表于 2022-11-27 16:39:54

anthonyqian 发表于 2022-11-27 14:26
卡巴可能需要再上报一下，现在sys一个不杀了

我通知一下

显示全部楼层 · 发表于 2022-11-27 16:40:37

秋日之殇发表于 2022-11-27 14:35
内部已经添加了检测，应该是下发出现了问题我再上报一下。

Opentip现在全绿了。。。而且之前能够确认卡巴能杀过一段时间，当时vt引擎也都生效了。不知道这一次又出什么岔子去了。。。

显示全部楼层 · 发表于 2022-11-27 17:25:03

本帖最后由秋日之殇于 2022-11-27 17:30 编辑

wwwab 发表于 2022-11-27 16:40
Opentip现在全绿了。。。而且之前能够确认卡巴能杀过一段时间，当时vt引擎也都生效了。不知道这一次又出 ...

没有吧，我又看了几个，云端有添加检测。
-----------------------------------------------------

又看了一下，确实大部分被加白了

显示全部楼层 · 发表于 2022-11-27 17:30:03

秋日之殇发表于 2022-11-27 17:25
没有吧，我又看了几个，云端有添加检测。

我貌似spam了一下

显示全部楼层 · 发表于 2022-11-27 17:31:37

wwwab 发表于 2022-11-27 17:30
我貌似spam了一下

离谱

显示全部楼层 · 发表于 2022-11-27 19:51:23

本帖最后由 tdsskiller 于 2022-11-27 19:52 编辑

wwwab 发表于 2022-11-27 16:39
这事儿又和他们无关他们怎么能帮你用他们子公司的东西呢？。。。

可能是检测还没做完？或者，WHQL还要 ...

我不太清楚是不是这种whql有什么坑在里面，做通杀处理会炸系统或者误杀其他whql？
而且这些东西应该都是vmp，自动分析全部去世，手动分析不知道里面还得有多少坑

显示全部楼层 · 发表于 2022-11-27 20:16:11

tdsskiller 发表于 2022-11-27 19:51
我不太清楚是不是这种whql有什么坑在里面，做通杀处理会炸系统或者误杀其他whql？
而且这些东西应该都是 ...

360是碰到带vmp的可疑驱动云端一上传就给你报毒干掉

[病毒样本] WHQL RootKit 传奇私-FuRootKit 32X

本帖子中包含更多资源