疑似白加黑 (dll带WHQL)

Jirehlov1234

hsks 发表于 2023-8-25 04:09
好像还是那个FakeTG里的（）
https://www.virustotal.com/gui/file/d84b2a0632974c30a318ca1b44f42c5dc5 ...

我是说有道云的路径。可能是现在目录改了，vt分析的早所以有。

wwwab

Jirehlov1234 发表于 2023-8-25 12:14
我是说有道云的路径。可能是现在目录改了，vt分析的早所以有。

https://s.threatbook.com/report/ ... 30b208bbf993afd94b6

上微步找

Jirehlov1234

wwwab 发表于 2023-8-25 04:19
https://s.threatbook.com/report/file/5e71210105df0fabd17460e5ea9c315ffd0a178daf0f230b208bbf993afd9 ...

"spaceused":"165102"
这个路径现在已经没东西了，看来确实是后来改的。微步这个时间戳是Sat, 19 Aug 2023 02:28:04 GMT，晚了几天我们

wwwab

刚才看了一下

发现：

这个“quanshiyu2022”我是有点印象的，很久之前就有了，样本区当时应该也出现过很多次，一开始有厂商命名为“SiMayRAT”，详见：
https://zhuanlan.zhihu.com/p/511451958 https://baijiahao.baidu.com/s?id=1732315416748421241
当时我也写过文章https://bbs.kafan.cn/thread-2252865-1-1.html
甚至vt上我也是以SiMayRAT打标签的


后面安天又认为是谷堕，https://zhuanlan.zhihu.com/p/618448048

没想到这货不仅没死，最近还搞上WHQL了

Jirehlov1234

wwwab 发表于 2023-8-25 04:36
刚才看了一下

发现：

看了一下微步的关联，WEB4c64cfb83b69382247b8bc37425e47ac下面的文件很灵活，看样子经常易位

wwwab

Jirehlov1234 发表于 2023-8-25 12:43
看了一下微步的关联，WEB4c64cfb83b69382247b8bc37425e47ac下面的文件很灵活，看样子经常易位

这家伙2022年年初开始就用有道云笔记搞事情了，没想到现在最近竟然还活着并且还在有道云笔记上面搞事情，甚至还搞上了WHQL，真不知道有道云笔记是干啥吃的

ANY.LNK

wwwab 发表于 2023-8-23 17:26
@ANY.LNK 如何评价WHQL ShellCodeRunner dll

简单看了下

……6

这年头，连不是驱动程序的由R3加载的DLL都能上WHQL签名了，真不知道微软是怎么想的……
稍后我去添加到列表里下顺带提交一下微软

PS：上报时发现微软居然没有撤销掉对WHQL DLL的信任，齐刷刷一片Not malware……

wwwab

ANY.LNK 发表于 2023-8-26 00:59
简单看了下

……6

现在Malware了

ANY.LNK

wwwab 发表于 2023-8-26 17:22
现在Malware了

我上报了

另外，新的问题，在我上报第一个样本不久后其实就已经添加检测了Trojan:Win32/TeleBot.B，但是这个检测在第二个样本添加相同的检测的时候又被移除了，后来我又上报了一遍，目前最新版本的定义两个都还没添加检测

wwwab

ANY.LNK 发表于 2023-8-26 17:42
我上报了

另外，新的问题，在我上报第一个样本不久后其实就已经添加检测了Trojan:Win32/TeleBot.B，但 ...

不要着急，应该不用了，问题不大了已经，有大佬已经用Microsoft 365 Defender渠道上报了

We have reviewed the files and added malware detections for them to the next definition update. The latest definition information is available here: https://docs.microsoft.com/micro ... -defender-antivirus Thank you for contacting Microsoft.