【开放测试】卡饭病毒样本包 20200611

QVM360

Kafan Virlist 发布帖        卡饭病毒测试组版权所有 Copyright 2007-2020 Kafan Malware Analysis & Test Team 严谨 冷静 执着 责任 Conscientiousness, Calm, Insistence & Responsibility

病毒测试组成员 Members of Kafan Malware Analysis & Test Team

Agu, XywCloud, Jirehlov1234, Jerry.Lin, QVM360, 神龟Turmi, B100D1E55, petr0vic

感谢为本次测试提供样本的成员 The samples are provided by：QVM360

友情提示 Attention Please 请您注意 Caution Please 请注意，所以样本均为真实威胁，具有严重危害性。请不要在没有任何安全措施保存，打开或执行这些样本。我们不对因不恰当测试方式造成的任何损失负责。 Please NOTICE that all samples are actual threats that can damage your computer. Please DO NOT save, open, or execute these samples without any security protection or isolation. We are not responsible for any loss caused by inappropriate test methods. 所有的样本仅用于测试或其他非盈利目的。我们希望您在正式测试结束后能将它们发送给安全厂商以供分析，这将有助于提高反病毒软件等对恶意软件的侦测率。 You must make sure that all these samples are ONLY for testing or other non-profit usages. We hope you can send these samples to security vendors after the end of testing to help improve the detection rate.

测试阶段：

1、正式测试（发布后30分钟-60分钟内）：需按照测试要求，回帖要求 进行测试；样本包回帖可见，组别为正式会员及以上可见。
2、开放测试（发布60分钟后）：对测试形式，回帖不做要求，仅供参考；样本包开放。



测试要求：

扫描标准：
√默认设置
√联网


执行标准：
√默认设置
√联网
√软件版本最新
×沙盒环境

*如与标准不同，请详细标注您的自定义测试配置



回帖要求/模板：

例子：

测试环境：
测试产品：
病毒库版本：
测试项目：
测试配置：
结果：扫描（/） + 执行（/）= 总计 （/）
日志：
截图（可选）：

占楼时可选择：

测试环境：
测试产品：

样本包基本信息：


样本数量：860x

下载地址：https://c-t.work/s/02378febaa7b4e
https://ws28.cn/f/2qu5g4szyjs





当前测试阶段：开放测试

dsb2466

5楼出了，我就不出了

feixiangba

测试环境：WIN10 X64 实机
测试产品：Kaspersky Internet Security
病毒库版本：2020/6/11 14:46
测试项目：扫描
测试配置：标准
结果：扫描（840/860）= 总计 （840/860）97.67%
日志：

猥琐大叔

测试环境：windows7
测试产品：金山毒霸极速版
病毒库版本：最新
测试项目：扫描  1扫
测试配置：最高
结果：扫描  69
截图（可选）：

狂欢...

测试环境：windows7虚拟机
测试产品：360卫士
病毒库版本：无
测试项目：扫描
测试配置：一扫
结果：扫描=832/860=95.74%二扫＋3，执行了两个＋2=837/860=97.33%
截图（可选）：

OVS

测试环境：WIN10 2004 x64 虚拟机
测试产品：ESET Internet Security  
病毒库版本：21473
测试项目：扫描
测试配置：4个具有攻击性
结果：扫描（846/860）= 总计 （846/860）98.37%
日志：

剩余

lindeng1988

goodjob

猥琐大叔

测试环境：windows7
测试产品：智量2.65
病毒库版本：最新
测试项目：扫描  1扫
测试配置：最高

截图（可选）：.

QVM360

测试环境：win7虚拟机
测试产品：智量终端安全2.64
病毒库版本：最新
测试项目：扫描+执行
测试配置：标准启发
结果：扫描（825/858） + 执行（19/33）= 总计 （844/858）=98.37%

双击Kafan_Sample_1f2b9ed45696d387c21a1a5ac0c414949cd5357d182fa3e670d9d335abeca5e4.exe，启发杀衍生物

双击Kafan_Sample_1f699a5398c8f4cce47749581f4f00cc459b1a55cbdd43d7830ed40a0a10a8bc.exe，主防杀衍生物，本体也没了

双击Kafan_Sample_2ba84256949705c300537816e00fc9214b5ba3e314ea798db430c41eb94f1d92.doc，拦截调用regsvr32.exe的过程，本体也没了

双击Kafan_Sample_3d5c6bf7bca7714b1466c0a088a5dbe1a4684ec1d9142cb310d8c64688ce9fa4.xls，有密码保护，但是equnedt32.exe开了，是漏洞利用，智量miss

双击Kafan_Sample_3de3d20cea5759b5eb9fd641200e4a8859099c878b10ee591cd25c3c5858d41f.jar，本体衍生物一起杀！

双击Kafan_Sample_20ff54eb54bdb826df1b416a8c353a49723d9a36069aeaf516d2043bc41a6554.xlsm，拦截对wmic.exe的调用

双击Kafan_Sample_19f424c3b0ad6511d58458785862513f6c86a832b2f1837b4581ddaf6036d857.exe，高级内存扫描程序杀

双击Kafan_Sample_4c07e4090be0858471182e5c6428e9b7be7805c41e41d0f95d2c59b20fd29120.xls，没有明显行为但是winword.exe开起来了，非常可疑，智量miss

PS：退出时询问是否计算公式，明显是CVE-2017-11882漏洞利用

双击Kafan_Sample_4c250eca51e80b116d93fd7aec9764e6856244b048a050959275aa90b7d6ad6d.xls，有密码保护，但是equnedt32.exe开了，是漏洞利用，智量miss

双击Kafan_Sample_5a0916288774491c55e0905466119277b398f3ec8f61fcd49b0454140d574f51.exe，无进程，但看图标伪装成一个文件夹，一定是恶意的，智量miss

双击Kafan_Sample_6de3645643318c34d97b2106ce9dd34ce41cb0c11e6f2f2788916abfdef70ea2.xls，有密码保护，但是equnedt32.exe开了，是漏洞利用，智量miss

双击Kafan_Sample_6f103ac2c04885d0f4e5df31e162676166cfa3f0b316d3ebb8ff1baf6f67a92a.exe

双击Kafan_Sample_38a3888f74a01a8386ec24e663d8a56aee8f122792ab5276129d2f5dc87bf86b.exe，注入HelpPaneProxy.exe被高级内存扫描程序杀

双击Kafan_Sample_84bd9b3f67244614da253696b2bc12685fdd0efa39081a8400a6c59f5e4e7a92.msi，是个excel安装程序的插件，但是ANY.RUN显示恶意，可能是下载者，智量miss

https://app.any.run/tasks/4788d004-34f9-4357-bf3c-b50495f71816

双击Kafan_Sample_85be0448319ed8b79a219c1668771c08e5c2bb9d6b8bbc5b188eebf6621177d4.xlsx，没有宏，但是有叫你关闭受保护的视图的操作，算恶意（VT显示是cve-2017-0199漏洞利用）,ANY.RUN：https://app.any.run/tasks/e42e44b9-d266-4d13-935e-385fd7853146，可能是下载者，但被Q****了

双击Kafan_Sample_130d45e0e2f57cc6ff0c66c8a268300dabdec638de1c805bbb519575213935f3.xls，白文件，VT全绿，不计入

双击Kafan_Sample_191f1535d360bc35740e358c0a6637d32b1950612d6b91f2bfc170739ab83556.exe，本体衍生物一起杀

双击Kafan_Sample_0262d3c3b2b03ad33d112361a02cc54ae49aab91042075c2978f14cb2aec0093.exe，被高级内存扫描程序杀

双击Kafan_Sample_759fcdb9a7fb7ac55c1fa618c27c9703fb7f3d68a51cd25f09ac62a6a119e421.xlsx

开启winword并下载文件，被拦截调用wscript.exe的动作，释放出的衍生物也被一起击杀！

双击Kafan_Sample_764e0a8c72c8aff54af315ada8e54e167da92200b64ad7163f2c7c7264b16d9e.vbs，拦截对powershell.exe的调用

双击Kafan_Sample_911c904345abb683ec3e01f45235acc28f54da063c8b7dedc0da21c35c18144a.jar，直接杀本体

双击Kafan_Sample_a21b3130f42991d83a8b77522bb94fe0c87affda1dd962639fdbc7dc2d753600.exe，调用RegAsm.exe联网时被高级内存扫描程序阻止，本体也被KO了

双击Kafan_Sample_af3fcc4d0646a3a2c27512b07a0c84428ced10606e28e248ecfcd8c2569d85d8.doc，监控拦截衍生物

双击Kafan_Sample_af665b25b8506408fc9764859ec6bc30b9560d484280d8d115e3e06d4bb973d1.vbs，假报错后删除自身，然后没反应，智量miss

双击Kafan_Sample_b81056a989fefe54ef5b57f6cf60301d81436096f180df89112fa5fc48e0aab2.doc，智量miss

双击Kafan_Sample_c1cd034edab0967f6f9e6e3caa3e2d306796d159ee2970221e90a3c209d14f0a，智量miss

双击Kafan_Sample_c5319187fae5cf975654cbdf041dd8fe5993e4ca9034bf517be82a2d16a0cd4c.xls，有密码保护，但是是漏洞利用，智量miss

双击Kafan_Sample_d72c925d4fb88ed3da852212c892d22e36f5352335b11cff8fd885bb2176697a.jar，直接报本体

双击Kafan_Sample_e0df76e2a4b60fd7eeebb57337e8a91f66c2d88a9750d30a3ce5e162d3f9436f.xls，有密码保护，但是是漏洞利用，智量miss

双击Kafan_Sample_ef366f6e2178ed0cdf3f898564ceed441d28df1fb962915d0cdc0e0875cb744d.xlsm，智量miss

双击Kafan_Sample_f4decddf7c66722424bc08001f76f96c7f5fffd00cecdecc6b192f1a48b0c41d.xls，有密码保护，但是是漏洞利用，智量miss
双击Kafan_Sample_f7b1878819d9591d9dd99ad59c01042a895a3a7c86f6b11c8564936f6bb0cd94.xls，白文件，不计入

双击Kafan_Sample_f26cc7e38365fe3197229394f6abad49e62252c9150c697798418c69186c0fa4.exe，智量miss

双击Kafan_Sample_fa6ea9ea16c7c165c01a327db5d4410c84c83aafde37894d5ec9a9d3b9222ccc.exe，删除自身，然后被高级内存扫描程序杀！

双击Kafan_Sample_fedcf44149138647412868c8374390e70dd823c7d054fdc91adb1458f62c9431.jar，本体衍生物一起干掉

如需看图请下载

https://mc163.lanzous.com/iWAiHdk2tti