高质量WHQL Rootkit样本和释放器一枚，VT 0 报毒

显示全部楼层 · 发表于 2023-5-28 09:18:09

pal家族发表于 2023-5-28 09:01
Hello,

We rechecked the file. New malicious software was found in the attached file. Its detect ...

我已经再次提交微软，等待结果

显示全部楼层 · 发表于 2023-5-28 09:21:08

ANY.LNK 发表于 2023-5-28 00:19
目前就是在等谁先入库。各家大多处于观望状态。

以下是微软的回复：

ESET在分析样本的时候，还入库了一个衍生物https://www.virustotal.com/gui/f ... 4336aa156/detection，检测名和恶意驱动一样

显示全部楼层 · 发表于 2023-5-28 09:21:40

sys已上报至铁壳分析，毕竟最终还是不能光靠本地ML来杀。

显示全部楼层 · 发表于 2023-5-28 09:30:13

本帖最后由 ANY.LNK 于 2023-5-28 09:33 编辑

anthonyqian 发表于 2023-5-28 09:21
ESET在分析样本的时候，还入库了一个衍生物https://www.virustotal.com/gui/file/6b8f8a3d70eb5005a92dc2 ...

已更新样本，已上报

显示全部楼层 · 发表于 2023-5-28 09:36:35

GreatMOLA 发表于 2023-5-28 09:21
sys已上报至铁壳分析，毕竟最终还是不能光靠本地ML来杀。

会自动结案的，我已经通过误报通道尝试再让他们分析一下

显示全部楼层 · 发表于 2023-5-28 09:37:39

anthonyqian 发表于 2023-5-28 09:36
会自动结案的，我已经通过误报通道尝试再让他们分析一下

多试几次。

我一共上报了两次，一次文件一次Hash+VT链接。

显示全部楼层 · 发表于 2023-5-28 09:42:31

GreatMOLA 发表于 2023-5-28 09:37
多试几次。

我一共上报了两次，一次文件一次Hash+VT链接。

后面就没再closed了吗

怕是自动机玩坏了小心被黑号我的另一个邮箱就被铁壳黑掉了上报啥都不分析

显示全部楼层 · 发表于 2023-5-28 09:44:57

本帖最后由 GreatMOLA 于 2023-5-28 09:46 编辑

anthonyqian 发表于 2023-5-28 09:42
后面就没再closed了吗怕是自动机玩坏了小心被黑号我的另一个邮箱就被铁壳黑掉了上报啥都不分析

Norton 分析后入库

Submission type:
False negative
Submission status:
Your submission has been processed
Submission details:
The file has been processed. Changes may take up to 24 hours to take effect via Live Update.
If the issue persists after this time, please contact support: Contact Norton Support
Updated:
Sun, 28 May 2023 01:40:00 GMT

这次分析得挺快的，不过是VT链接那个案例。另一个文件的案例还是Analyzing

显示全部楼层 · 发表于 2023-5-28 09:50:24

GreatMOLA 发表于 2023-5-28 09:44
Norton 分析后入库

Norton提交平台自动结案好像也是这么显示的，到时候看看吧

显示全部楼层 · 发表于 2023-5-28 09:52:23

anthonyqian 发表于 2023-5-28 09:50
Norton提交平台自动结案好像也是这么显示的，到时候看看吧

自动结案会显示

Your submission has been processed

但是不会有

The file has been processed. Changes may take up to 24 hours to take effect via Live Update.
If the issue persists after this time, please contact support: Contact Norton Support

至于博通那边，我还没找到上报的方法，不过NLL提交后应该博通那边也会同步的吧，毕竟两家的Liveupdate域名都是一样的。

[原创分析] 高质量WHQL Rootkit样本和释放器一枚，VT 0 报毒