高质量WHQL Rootkit样本和释放器一枚，VT 0 报毒

ANY.LNK

wowocock 发表于 2023-5-29 09:58
花1分钟看了下，何来高质量一说？就进程创建，进程枚举，和文件微过滤根据明文，来阻止进程创建，及杀进程 ...

另，这个样本似乎已经是版本3.2的了……

pal家族

ANY.LNK 发表于 2023-5-29 23:19
刚刚@wwwab 链接里的样本

报了 云拉黑
事件: 检测到恶意对象
用户: GP76\Xzz123
用户类型: 发起者
应用程序名称: WinRAR.exe
应用程序路径: C:\Program Files\WinRAR
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: UDS:Rootkit.Win32.Agent.a
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: Windbg.sys
对象路径: E:\virus
对象的 MD5: 0EA8389589C603A8B05146BD06020597
原因: 云保护

00006666

ANY.LNK 发表于 2023-5-29 22:39
没有，甚至可以说这个样本的逻辑清晰到一眼就可以看出来的程度。构造的极为简单，也没有什么好的对抗手段 ...

有whql有效签名的驱动，能免杀很正常，如果没人去上报，都是这样放在VT几个月都没有杀软报毒

anthonyqian

GreatMOLA 发表于 2023-5-28 19:28
我也向博通提交了案例。

博通反馈 看看这次会不会拉黑…

Upon further analysis and investigation we have determined that the file(s) in question meet the necessary criteria to be detected by our products and as such, the detection cannot be revoked.

哦 已经拉黑了……

GreatMOLA

anthonyqian 发表于 2023-5-31 13:16
博通反馈 看看这次会不会拉黑…哦 已经拉黑了……

前两天刚刚把我案例关闭顺便丢给我一个clean。

anthonyqian

GreatMOLA 发表于 2023-5-31 13:21
前两天刚刚把我案例关闭顺便丢给我一个clean。

那是自动结案了

GreatMOLA

anthonyqian 发表于 2023-5-31 13:23
那是自动结案了

是啊，自动机。

Yuki丶

WHQL 500一个 随便都能签

wowocock

Yuki丶 发表于 2023-5-31 15:47
WHQL 500一个 随便都能签

主要是要到微软那去签名很麻烦，我们每次申请都得等好几天。

喀反

ANY.LNK 发表于 2023-5-29 22:43
主要是……这么烂的货居然4月份出来，一个多月里VirusTotal70款安全软件都没注意到。

而且还通过了微 ...

微软：钱到位了，一切都好说