高质量WHQL Rootkit样本和释放器一枚，VT 0 报毒

wowocock

花1分钟看了下，何来高质量一说？就进程创建，进程枚举，和文件微过滤根据明文，来阻止进程创建，及杀进程。都不如N年前的独狼系列，人家好歹还把字符串加密下。更不用说那坑爹的基本逻辑问题，MINIFILTER里因为注册表没设置，导致MINIFILTER注册失败，那也算了，还去做后面的注册进程回调，然后还返回前面注册失败的错误码，导致系统卸载了该驱动，而进程回调还在，你不蓝谁蓝？这种低级错误。明显感觉不会写驱动，也没认真测试过。

微信

GreatMOLA 发表于 2023-5-28 19:28
我也向博通提交了案例。

之前那个FuRootkit系列，我给博通提交过十几个样本，无一例外告诉我是clean，后来干脆上报啥也不反馈了，可能已经黑号了。我一直感觉铁壳和咖啡对whql rootkit挺弱的，起码入库挺弱的。记得两三个月过去后我手动扫，两家都是入库了三四个的样子。现在我基本只给博通上报误报。

aikafans

360kill
再加某不知名扫描器

ANY.LNK

00006666 发表于 2023-5-28 10:34
看你截图这样本没对抗superkiller.exe？

没有，甚至可以说这个样本的逻辑清晰到一眼就可以看出来的程度。构造的极为简单，也没有什么好的对抗手段，较许多其他Rootkit差远了。但就凭这一张有效的WHQL证书，就让VirusTotal上近70款安全软件在一个多月内无一报毒（该样本于4月14日发布）。还是有人找我求助我才注意并处理到

ANY.LNK

wowocock 发表于 2023-5-29 09:58
花1分钟看了下，何来高质量一说？就进程创建，进程枚举，和文件微过滤根据明文，来阻止进程创建，及杀进程 ...

主要是……这么烂的货居然4月份出来，一个多月里VirusTotal70款安全软件都没注意到。

而且还通过了微软的驱动兼容性测试，拿到了WHQL证书，还在诸如火绒论坛等处上造成了有一定规模的受灾……只能说，微软的审核在某些方面还是太奇怪了，这种东西（还带着测试签名）都能过

wwwab

pal家族 发表于 2023-5-28 09:01
Hello,

We rechecked the file. New malicious software was found in the attached file. Its detect ...

你那边卡巴扫描报不报

我看了下好像KSN和opentip都红了，但是vt没检测

感觉是卡巴那边入库WHQL RootKit又出啥问题了

@秋日之殇

pal家族

wwwab 发表于 2023-5-29 22:50
你那边卡巴扫描报不报

我看了下好像KSN和opentip都红了，但是vt没检测

我有个猜测
报毒名是rootkit的扫描和文件监控是不是不杀的啊。。。。
因为那个后来上次的exe也是rootkit报法，他就是监控扫描不杀，双击SW杀。

wwwab

pal家族 发表于 2023-5-29 22:53
我有个猜测
报毒名是rootkit的扫描和文件监控是不是不杀的啊。。。。
因为那个后来上次的exe也是rootki ...

没这说法的吧，https://www.virustotal.com/gui/f ... 262928ccaf840ca131a这个就能扫出来

pal家族

wwwab 发表于 2023-5-29 22:58
没这说法的吧，https://www.virustotal.com/gui/file/f9f2091fccb289bcf6a945f6b38676ec71dedb32f3674262 ...

哪儿有样本我实机试下

ANY.LNK

pal家族 发表于 2023-5-29 23:08
哪儿有样本我实机试下

刚刚@wwwab 链接里的样本