【开放测试】卡饭病毒样本包 20240709 第140期

QVM360

警告：本主题中所包含的任何文件和附件都有危害你的计算机的可能，并且没有安全软件可以100%防护这些样本。
          对于下载样本或附件所导致的任何数据泄露、破坏，以及所产生的任何损失，本人和卡饭论坛不负任何责任。

样本下载：
https://mc163.lanzoue.com/iap5223zomcj

1. sha256: EA9983AA3773984BD99CF8A5D93F2E614E9315131A41A9024EA40BD85CDBA1D3

复制代码

压缩包密码：infected

样本来源：MalwareBazaar由于我们没有稳定的国内样本源（欢迎分享），
而MalwareBazaar等样本源以国外流行样本为主，所以测试结果不代表真实情况下的防护能力，仅供参考。

奖励/惩罚规则：
奖励规则：
1、上传扫描日志，+5经验。
2、上传双击结果，+10经验。
3、测试多款安全软件的，奖励累加。
任何主题、任何时间段内的惩罚规则：
1、灌水（"感谢","我看看","获取样本"等均视为灌水，"占楼"不算），-5经验
2、超时（占楼后120分钟以内未能给出测试结果），-3经验。
3，正式测试时间内，泄露样本下载链接，-100经验。
4、其他违规行为，按照论坛相关规定处理。

注意：扫描/双击日志请以附件形式（压缩包）上传，或者以1号字体放在回复中。         
          对于日志过长以至于影响会员刷帖/回帖体验的回复，管理人员有权进行屏蔽处理。

当前测试阶段：开放测试

----------------------------------------------------
往期测试样本包下载：
https://mc163.lanzoue.com/b0edaxo1g
密码:GkNO64bFD5bf

hipoxiaxxx

FortiClient 扫描KILL 22X

剩余以下5X

双击：4个EXE全无反应，VBS下载的提示有虚拟机检测

LOG：

DisaPDB

Qihoo360（CN）
扫描（初扫）：16x



扫描（二扫）：3x


编辑：日志已上传附件。
360ScanLog.rar
双击：
95ff9b2516243fd104555cb9b3fa51b27adeba8f27a80c0f69f7918599938e27.exe

1. <font size="1">时间        操作        说明        次数
   
2. 2024-07-09 16:46:47        [自动阻止]          进程创建        防护 7 次
   
3. 详细描述：
   
4. 进程：C:\Users\Administrator\Desktop\1\95ff9b2516243fd104555cb9b3fa51b27adeba8f27a80c0f69f7918599938e27.exe
   
5. 动作：进程创建
   
6. 路径：C:\Users\Administrator\Desktop\1\95ff9b2516243fd104555cb9b3fa51b27adeba8f27a80c0f69f7918599938e27.exe
   
7. 防护信息: AD|1, 4|60, -1, -1||
   
8. 
   
9. 2024-07-09 16:46:36        [已阻止]          进程创建        防护 1 次
   
10. 详细描述：
    
11. 进程：C:\Users\Administrator\Desktop\1\95ff9b2516243fd104555cb9b3fa51b27adeba8f27a80c0f69f7918599938e27.exe
    
12. 动作：进程创建
    
13. 路径：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    
14. 风险文件：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    
15. 拦截补充描述：为了您的上网安全，如果您不认识此程序，请阻止此操作。</font>
    

复制代码

306f6928f04ff30ced95163cc97981ea9d0c4a51da496df9b1f44aeecc29e63f.vbs

1. <font size="1">时间        操作        说明        次数
   
2. 2024-07-09 16:50:07        [已阻止]          远程线程注入        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
   
5. 动作：远程线程注入
   
6. 路径：C:\Windows\System32\cmd.exe
   
7. 风险文件：C:\Users\Administrator\Desktop\1\306f6928f04ff30ced95163cc97981ea9d0c4a51da496df9b1f44aeecc29e63f.vbs (6)
   
8. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
   
9. 
   
10. 防护信息: AD|2, 88|40, 40, -1||</font>
    

复制代码

04684dfe5b251dd66125708589b7b21f3403ba7a624f4457b3fd95bbfbe4f6cc.js

1. <font size="1">时间        操作        说明        次数
   
2. 2024-07-09 16:50:54        [已阻止]          远程线程注入        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Windows\System32\cmd.exe
   
5. 动作：远程线程注入
   
6. 路径：C:\Windows\System32\regsvr32.exe
   
7. 风险文件：C:\Users\Administrator\Desktop\1\04684dfe5b251dd66125708589b7b21f3403ba7a624f4457b3fd95bbfbe4f6cc.js
   
8. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
   
9. 
   
10. 防护信息: AD|2, 88|60, 60, -1||
    
11. 2024-07-09 16:50:52        [已阻止]          发现恶意网络访问        防护 1 次
    
12. 详细描述：
    
13. 威胁类型：连接远程网络
    
14. IP Port：45.9.74.13:8888
    
15. 
    
16. 进程：C:\Windows\System32\net.exe
    
17. 2024-07-09 16:50:47        [已阻止]          远程线程注入        防护 1 次
    
18. 详细描述：
    
19. 进程：C:\Windows\System32\cmd.exe
    
20. 动作：远程线程注入
    
21. 路径：C:\Windows\System32\net.exe
    
22. 风险文件：C:\Users\Administrator\Desktop\1\04684dfe5b251dd66125708589b7b21f3403ba7a624f4457b3fd95bbfbe4f6cc.js
    
23. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
24. 
    
25. 防护信息: AD|2, 88|60, 60, -1||
    
26. 2024-07-09 16:50:45        [已阻止]          远程线程注入        防护 1 次
    
27. 详细描述：
    
28. 进程：C:\Windows\System32\wscript.exe
    
29. 动作：远程线程注入
    
30. 路径：C:\Windows\System32\cmd.exe
    
31. 风险文件：C:\Users\Administrator\Desktop\1\04684dfe5b251dd66125708589b7b21f3403ba7a624f4457b3fd95bbfbe4f6cc.js
    
32. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
33. 
    
34. 防护信息: AD|2, 88|60, 60, -1||
    
35. 2024-07-09 16:50:42        [已允许]          进程创建        防护 1 次
    
36. 详细描述：
    
37. 进程：C:\Windows\explorer.exe
    
38. 动作：进程创建
    
39. 路径：C:\Windows\System32\wscript.exe
    
40. 风险文件：C:\Users\Administrator\Desktop\1\04684dfe5b251dd66125708589b7b21f3403ba7a624f4457b3fd95bbfbe4f6cc.js
    
41. 拦截补充描述：为了您的上网安全，如果您不认识此程序，请阻止此操作。
    
42. 
    
43. 防护信息: AD|1, 236|10, 10, 60||</font>
    

复制代码

e4c4990451cfa8c8a75a65d68c8dc7efde67ba3cdca812636895f8488005da54.exe

1. <font size="1">时间        操作        说明        次数
   
2. 2024-07-09 16:52:55        [已阻止]          远程线程注入        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Users\Administrator\Desktop\1\e4c4990451cfa8c8a75a65d68c8dc7efde67ba3cdca812636895f8488005da54.exe
   
5. 动作：远程线程注入
   
6. 路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe
   
7. 风险文件：C:\Users\Administrator\Desktop\1\e4c4990451cfa8c8a75a65d68c8dc7efde67ba3cdca812636895f8488005da54.exe
   
8. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
   
9. 
   
10. 防护信息: AD|2, 88|30, 30, -1||</font>
    

复制代码

f6cbc49b4d78b007e50e81a36ad9fe723e8869350385dff56b02e6bbe0f886de.js（与上一个js脚本同源）

1. <font size="1">时间        操作        说明        次数
   
2. 2024-07-09 16:54:40        [已阻止]          远程线程注入        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Windows\System32\cmd.exe
   
5. 动作：远程线程注入
   
6. 路径：C:\Windows\System32\regsvr32.exe
   
7. 风险文件：C:\Users\Administrator\Desktop\1\f6cbc49b4d78b007e50e81a36ad9fe723e8869350385dff56b02e6bbe0f886de.js
   
8. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
   
9. 
   
10. 防护信息: AD|2, 88|60, 60, -1||
    
11. 2024-07-09 16:54:38        [已阻止]          发现恶意网络访问        防护 1 次
    
12. 详细描述：
    
13. 威胁类型：连接远程网络
    
14. IP Port：45.9.74.13:8888
    
15. 
    
16. 进程：C:\Windows\System32\net.exe
    
17. 2024-07-09 16:54:27        [已阻止]          远程线程注入        防护 1 次
    
18. 详细描述：
    
19. 进程：C:\Windows\System32\cmd.exe
    
20. 动作：远程线程注入
    
21. 路径：C:\Windows\System32\net.exe
    
22. 风险文件：C:\Users\Administrator\Desktop\1\f6cbc49b4d78b007e50e81a36ad9fe723e8869350385dff56b02e6bbe0f886de.js
    
23. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
24. 
    
25. 防护信息: AD|2, 88|60, 60, -1||
    
26. 2024-07-09 16:54:26        [已阻止]          远程线程注入        防护 1 次
    
27. 详细描述：
    
28. 进程：C:\Windows\System32\wscript.exe
    
29. 动作：远程线程注入
    
30. 路径：C:\Windows\System32\cmd.exe
    
31. 风险文件：C:\Users\Administrator\Desktop\1\f6cbc49b4d78b007e50e81a36ad9fe723e8869350385dff56b02e6bbe0f886de.js
    
32. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
33. 
    
34. 防护信息: AD|2, 88|60, 60, -1||
    
35. 2024-07-09 16:54:24        [已允许]          进程创建        防护 1 次
    
36. 详细描述：
    
37. 进程：C:\Windows\explorer.exe
    
38. 动作：进程创建
    
39. 路径：C:\Windows\System32\wscript.exe
    
40. 风险文件：C:\Users\Administrator\Desktop\1\f6cbc49b4d78b007e50e81a36ad9fe723e8869350385dff56b02e6bbe0f886de.js
    
41. 拦截补充描述：为了您的上网安全，如果您不认识此程序，请阻止此操作。
    
42. 
    
43. 防护信息: AD|1, 236|10, 10, 60||</font>
    

复制代码

f71c34128bf5c4a4ecc05e5aa4fbd02740b96c4aaf075124f3a4e33f36c17c92.exe

1. <font size="1">时间        操作        说明        次数
   
2. 2024-07-09 16:55:38        [已阻止]          远程线程注入        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Users\Administrator\Desktop\1\f71c34128bf5c4a4ecc05e5aa4fbd02740b96c4aaf075124f3a4e33f36c17c92.exe
   
5. 动作：远程线程注入
   
6. 路径：C:\Program Files (x86)\SogouInput\14.3.0.9006\crashrpt.exe
   
7. 风险文件：C:\Users\Administrator\Desktop\1\f71c34128bf5c4a4ecc05e5aa4fbd02740b96c4aaf075124f3a4e33f36c17c92.exe
   
8. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
   
9. 
   
10. 防护信息: AD|2, 88|50, 50, -1||</font>
    

复制代码

随后进程自退。

5e2839553458547a92fff7348862063b30510e805a550e02d94a89bd8fd0768d.exe-miss，进程自退，无行为
b116c1e0f92dca485565d5f7f3b572d7f01724062320597733b9dbf6dd84dee1.exe-同上

统计中……

合计27/27.

1073328164

迈克菲扫描 kill 22x，日志如下：

金山毒霸 14个

syswow64

SEP

杀21x，余6x





双击：SONAR杀了剩余的两个exe，VBS应该是个下载器，提示不能在虚拟机下运行。wab.exe可能是JS的下载衍生物。

Komeiji-Reimu

卡巴斯基 扫描剩余6x
双击杀两个vbs

双击后剩余dll文件外的

d4db39743a54bacc03cdb4d4d772000823f099febea271a44d40631cc01a2a0c
050e979722f8a3be5a07806d3ebbbac067ff293ed225faff452aa6145ef21c96


----------------
360非第一时间扫描

kill 22x


双击
5e2839553458547a92fff7348862063b30510e805a550e02d94a89bd8fd0768d miss
95ff9b2516243fd104555cb9b3fa51b27adeba8f27a80c0f69f7918599938e27 Hips




b116c1e0f92dca485565d5f7f3b572d7f01724062320597733b9dbf6dd84dee1 miss
e4c4990451cfa8c8a75a65d68c8dc7efde67ba3cdca812636895f8488005da54 miss
f71c34128bf5c4a4ecc05e5aa4fbd02740b96c4aaf075124f3a4e33f36c17c92 Hips拦截一些






----------------

Avast免费版
扫描 kill 26x（强大）



剩余 b116c1e0f92dca485565d5f7f3b572d7f01724062320597733b9dbf6dd84dee1 双击分析为安全，miss


--------------------

火绒
扫描杀12x



双击

5e2839553458547a92fff7348862063b30510e805a550e02d94a89bd8fd0768d 没反应
050e979722f8a3be5a07806d3ebbbac067ff293ed225faff452aa6145ef21c96 miss
95ff9b2516243fd104555cb9b3fa51b27adeba8f27a80c0f69f7918599938e27 hips拦截一个


306f6928f04ff30ced95163cc97981ea9d0c4a51da496df9b1f44aeecc29e63f  没反应
04684dfe5b251dd66125708589b7b21f3403ba7a624f4457b3fd95bbfbe4f6cc 没反应
540496b0cde097cb083d1c501af7b0ed84c5e94922be37700bfa44c2090ecfbc kill


b116c1e0f92dca485565d5f7f3b572d7f01724062320597733b9dbf6dd84dee1 没反应
d4db39743a54bacc03cdb4d4d772000823f099febea271a44d40631cc01a2a0c 正常安装运行

de8a9c273adc8bd2c615a7e09c87cb8b9cfc38ef6317bfa435b4a3474f1b670f  miss
e4c4990451cfa8c8a75a65d68c8dc7efde67ba3cdca812636895f8488005da54 miss
e33fda9ea628ee0efe54b54a20a9e6aff7cd64d293f3b67c71f11d3035c17764 miss
f6cbc49b4d78b007e50e81a36ad9fe723e8869350385dff56b02e6bbe0f886de miss
f71c34128bf5c4a4ecc05e5aa4fbd02740b96c4aaf075124f3a4e33f36c17c92 kill


dll未测，剩余一个运行后自删

-------------------
文件太多，不适用于测试单步Hips，故未测试冰盾

莒县小哥

WD清空

QVM360

Chyxs 发表于 2024-7-9 16:41
卡巴 miss 1
050e979722f8a3be5a07806d3ebbbac067ff293ed225faff452aa6145ef21c96.exe

我用的盗版？