查看: 2314|回复: 68
收起左侧

[病毒样本] 【开放测试】卡饭病毒样本包 20240709 第140期

  [复制链接]
QVM360
发表于 2024-7-9 16:35:32 | 显示全部楼层 |阅读模式
本帖最后由 QVM360 于 2024-7-10 00:14 编辑

警告:本主题中所包含的任何文件和附件都有危害你的计算机的可能,并且没有安全软件可以100%防护这些样本。
          对于下载样本或附件所导致的任何数据泄露、破坏,以及所产生的任何损失,本人和卡饭论坛不负任何责任。

样本下载:
https://mc163.lanzoue.com/iap5223zomcj
  1. sha256: EA9983AA3773984BD99CF8A5D93F2E614E9315131A41A9024EA40BD85CDBA1D3
复制代码

压缩包密码:infected

样本来源:MalwareBazaar由于我们没有稳定的国内样本源(欢迎分享),
而MalwareBazaar等样本源以国外流行样本为主,所以测试结果不代表真实情况下的防护能力,仅供参考。

奖励/惩罚规则:
奖励规则:
1、上传扫描日志,+5经验。
2、上传双击结果,+10经验。
3、测试多款安全软件的,奖励累加。
任何主题、任何时间段内的惩罚规则:
1、灌水("感谢","我看看","获取样本"等均视为灌水,"占楼"不算),-5经验
2、超时(占楼后120分钟以内未能给出测试结果),-3经验。
3,正式测试时间内,泄露样本下载链接,-100经验。
4、其他违规行为,按照论坛相关规定处理。

注意:扫描/双击日志请以附件形式(压缩包)上传,或者以1号字体在回复中。         
          对于日志过长以至于影响会员刷帖/回帖体验的回复,管理人员有权进行屏蔽处理。

当前测试阶段:开放测试

----------------------------------------------------
往期测试样本包下载:
https://mc163.lanzoue.com/b0edaxo1g
密码:GkNO64bFD5bf








评分

参与人数 2人气 +8 收起 理由
idgg007 + 3 版区有你更精彩: )
驭龙 + 5 昨天只剩下2人气了,今天补上

查看全部评分

hipoxiaxxx
发表于 2024-7-9 16:36:39 | 显示全部楼层
本帖最后由 hipoxiaxxx 于 2024-7-9 17:07 编辑

FortiClient 扫描KILL 22X

剩余以下5X

双击:4个EXE全无反应,VBS下载的提示有虚拟机检测

LOG:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +15 收起 理由
QVM360 + 15 版区有你更精彩: )

查看全部评分

DisaPDB
发表于 2024-7-9 16:37:38 | 显示全部楼层
本帖最后由 QVM360 于 2024-7-9 19:15 编辑

Qihoo360(CN)
扫描(初扫):16x



扫描(二扫):3x


编辑:日志已上传附件。
360ScanLog.rar
双击:
95ff9b2516243fd104555cb9b3fa51b27adeba8f27a80c0f69f7918599938e27.exe
  1. <font size="1">时间        操作        说明        次数
  2. 2024-07-09 16:46:47        [自动阻止]          进程创建        防护 7 次
  3. 详细描述:
  4. 进程:C:\Users\Administrator\Desktop\1\95ff9b2516243fd104555cb9b3fa51b27adeba8f27a80c0f69f7918599938e27.exe
  5. 动作:进程创建
  6. 路径:C:\Users\Administrator\Desktop\1\95ff9b2516243fd104555cb9b3fa51b27adeba8f27a80c0f69f7918599938e27.exe
  7. 防护信息: AD|1, 4|60, -1, -1||

  8. 2024-07-09 16:46:36        [已阻止]          进程创建        防护 1 次
  9. 详细描述:
  10. 进程:C:\Users\Administrator\Desktop\1\95ff9b2516243fd104555cb9b3fa51b27adeba8f27a80c0f69f7918599938e27.exe
  11. 动作:进程创建
  12. 路径:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  13. 风险文件:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  14. 拦截补充描述:为了您的上网安全,如果您不认识此程序,请阻止此操作。</font>
复制代码
306f6928f04ff30ced95163cc97981ea9d0c4a51da496df9b1f44aeecc29e63f.vbs
  1. <font size="1">时间        操作        说明        次数
  2. 2024-07-09 16:50:07        [已阻止]          远程线程注入        防护 1 次
  3. 详细描述:
  4. 进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  5. 动作:远程线程注入
  6. 路径:C:\Windows\System32\cmd.exe
  7. 风险文件:C:\Users\Administrator\Desktop\1\306f6928f04ff30ced95163cc97981ea9d0c4a51da496df9b1f44aeecc29e63f.vbs (6)
  8. 拦截补充描述:程序正在进行远程线程注入,将代码藏匿到其他进程来运行,木马通常以此来隐藏自己的恶意行为。如果您不认识此程序,请阻止。

  9. 防护信息: AD|2, 88|40, 40, -1||</font>
复制代码
04684dfe5b251dd66125708589b7b21f3403ba7a624f4457b3fd95bbfbe4f6cc.js
  1. <font size="1">时间        操作        说明        次数
  2. 2024-07-09 16:50:54        [已阻止]          远程线程注入        防护 1 次
  3. 详细描述:
  4. 进程:C:\Windows\System32\cmd.exe
  5. 动作:远程线程注入
  6. 路径:C:\Windows\System32\regsvr32.exe
  7. 风险文件:C:\Users\Administrator\Desktop\1\04684dfe5b251dd66125708589b7b21f3403ba7a624f4457b3fd95bbfbe4f6cc.js
  8. 拦截补充描述:程序正在进行远程线程注入,将代码藏匿到其他进程来运行,木马通常以此来隐藏自己的恶意行为。如果您不认识此程序,请阻止。

  9. 防护信息: AD|2, 88|60, 60, -1||
  10. 2024-07-09 16:50:52        [已阻止]          发现恶意网络访问        防护 1 次
  11. 详细描述:
  12. 威胁类型:连接远程网络
  13. IP Port:45.9.74.13:8888

  14. 进程:C:\Windows\System32\net.exe
  15. 2024-07-09 16:50:47        [已阻止]          远程线程注入        防护 1 次
  16. 详细描述:
  17. 进程:C:\Windows\System32\cmd.exe
  18. 动作:远程线程注入
  19. 路径:C:\Windows\System32\net.exe
  20. 风险文件:C:\Users\Administrator\Desktop\1\04684dfe5b251dd66125708589b7b21f3403ba7a624f4457b3fd95bbfbe4f6cc.js
  21. 拦截补充描述:程序正在进行远程线程注入,将代码藏匿到其他进程来运行,木马通常以此来隐藏自己的恶意行为。如果您不认识此程序,请阻止。

  22. 防护信息: AD|2, 88|60, 60, -1||
  23. 2024-07-09 16:50:45        [已阻止]          远程线程注入        防护 1 次
  24. 详细描述:
  25. 进程:C:\Windows\System32\wscript.exe
  26. 动作:远程线程注入
  27. 路径:C:\Windows\System32\cmd.exe
  28. 风险文件:C:\Users\Administrator\Desktop\1\04684dfe5b251dd66125708589b7b21f3403ba7a624f4457b3fd95bbfbe4f6cc.js
  29. 拦截补充描述:程序正在进行远程线程注入,将代码藏匿到其他进程来运行,木马通常以此来隐藏自己的恶意行为。如果您不认识此程序,请阻止。

  30. 防护信息: AD|2, 88|60, 60, -1||
  31. 2024-07-09 16:50:42        [已允许]          进程创建        防护 1 次
  32. 详细描述:
  33. 进程:C:\Windows\explorer.exe
  34. 动作:进程创建
  35. 路径:C:\Windows\System32\wscript.exe
  36. 风险文件:C:\Users\Administrator\Desktop\1\04684dfe5b251dd66125708589b7b21f3403ba7a624f4457b3fd95bbfbe4f6cc.js
  37. 拦截补充描述:为了您的上网安全,如果您不认识此程序,请阻止此操作。

  38. 防护信息: AD|1, 236|10, 10, 60||</font>
复制代码
e4c4990451cfa8c8a75a65d68c8dc7efde67ba3cdca812636895f8488005da54.exe
  1. <font size="1">时间        操作        说明        次数
  2. 2024-07-09 16:52:55        [已阻止]          远程线程注入        防护 1 次
  3. 详细描述:
  4. 进程:C:\Users\Administrator\Desktop\1\e4c4990451cfa8c8a75a65d68c8dc7efde67ba3cdca812636895f8488005da54.exe
  5. 动作:远程线程注入
  6. 路径:C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe
  7. 风险文件:C:\Users\Administrator\Desktop\1\e4c4990451cfa8c8a75a65d68c8dc7efde67ba3cdca812636895f8488005da54.exe
  8. 拦截补充描述:程序正在进行远程线程注入,将代码藏匿到其他进程来运行,木马通常以此来隐藏自己的恶意行为。如果您不认识此程序,请阻止。

  9. 防护信息: AD|2, 88|30, 30, -1||</font>
复制代码
f6cbc49b4d78b007e50e81a36ad9fe723e8869350385dff56b02e6bbe0f886de.js(与上一个js脚本同源)
  1. <font size="1">时间        操作        说明        次数
  2. 2024-07-09 16:54:40        [已阻止]          远程线程注入        防护 1 次
  3. 详细描述:
  4. 进程:C:\Windows\System32\cmd.exe
  5. 动作:远程线程注入
  6. 路径:C:\Windows\System32\regsvr32.exe
  7. 风险文件:C:\Users\Administrator\Desktop\1\f6cbc49b4d78b007e50e81a36ad9fe723e8869350385dff56b02e6bbe0f886de.js
  8. 拦截补充描述:程序正在进行远程线程注入,将代码藏匿到其他进程来运行,木马通常以此来隐藏自己的恶意行为。如果您不认识此程序,请阻止。

  9. 防护信息: AD|2, 88|60, 60, -1||
  10. 2024-07-09 16:54:38        [已阻止]          发现恶意网络访问        防护 1 次
  11. 详细描述:
  12. 威胁类型:连接远程网络
  13. IP Port:45.9.74.13:8888

  14. 进程:C:\Windows\System32\net.exe
  15. 2024-07-09 16:54:27        [已阻止]          远程线程注入        防护 1 次
  16. 详细描述:
  17. 进程:C:\Windows\System32\cmd.exe
  18. 动作:远程线程注入
  19. 路径:C:\Windows\System32\net.exe
  20. 风险文件:C:\Users\Administrator\Desktop\1\f6cbc49b4d78b007e50e81a36ad9fe723e8869350385dff56b02e6bbe0f886de.js
  21. 拦截补充描述:程序正在进行远程线程注入,将代码藏匿到其他进程来运行,木马通常以此来隐藏自己的恶意行为。如果您不认识此程序,请阻止。

  22. 防护信息: AD|2, 88|60, 60, -1||
  23. 2024-07-09 16:54:26        [已阻止]          远程线程注入        防护 1 次
  24. 详细描述:
  25. 进程:C:\Windows\System32\wscript.exe
  26. 动作:远程线程注入
  27. 路径:C:\Windows\System32\cmd.exe
  28. 风险文件:C:\Users\Administrator\Desktop\1\f6cbc49b4d78b007e50e81a36ad9fe723e8869350385dff56b02e6bbe0f886de.js
  29. 拦截补充描述:程序正在进行远程线程注入,将代码藏匿到其他进程来运行,木马通常以此来隐藏自己的恶意行为。如果您不认识此程序,请阻止。

  30. 防护信息: AD|2, 88|60, 60, -1||
  31. 2024-07-09 16:54:24        [已允许]          进程创建        防护 1 次
  32. 详细描述:
  33. 进程:C:\Windows\explorer.exe
  34. 动作:进程创建
  35. 路径:C:\Windows\System32\wscript.exe
  36. 风险文件:C:\Users\Administrator\Desktop\1\f6cbc49b4d78b007e50e81a36ad9fe723e8869350385dff56b02e6bbe0f886de.js
  37. 拦截补充描述:为了您的上网安全,如果您不认识此程序,请阻止此操作。

  38. 防护信息: AD|1, 236|10, 10, 60||</font>
复制代码
f71c34128bf5c4a4ecc05e5aa4fbd02740b96c4aaf075124f3a4e33f36c17c92.exe
  1. <font size="1">时间        操作        说明        次数
  2. 2024-07-09 16:55:38        [已阻止]          远程线程注入        防护 1 次
  3. 详细描述:
  4. 进程:C:\Users\Administrator\Desktop\1\f71c34128bf5c4a4ecc05e5aa4fbd02740b96c4aaf075124f3a4e33f36c17c92.exe
  5. 动作:远程线程注入
  6. 路径:C:\Program Files (x86)\SogouInput\14.3.0.9006\crashrpt.exe
  7. 风险文件:C:\Users\Administrator\Desktop\1\f71c34128bf5c4a4ecc05e5aa4fbd02740b96c4aaf075124f3a4e33f36c17c92.exe
  8. 拦截补充描述:程序正在进行远程线程注入,将代码藏匿到其他进程来运行,木马通常以此来隐藏自己的恶意行为。如果您不认识此程序,请阻止。

  9. 防护信息: AD|2, 88|50, 50, -1||</font>
复制代码
随后进程自退。

5e2839553458547a92fff7348862063b30510e805a550e02d94a89bd8fd0768d.exe-miss,进程自退,无行为
b116c1e0f92dca485565d5f7f3b572d7f01724062320597733b9dbf6dd84dee1.exe-同上

统计中……

合计27/27.


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +15 收起 理由
QVM360 + 15 双击奖励

查看全部评分

1073328164
发表于 2024-7-9 16:39:51 | 显示全部楼层
本帖最后由 1073328164 于 2024-7-9 17:45 编辑

迈克菲扫描 kill 22x,日志如下:


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +5 收起 理由
QVM360 + 5 提供日志奖励

查看全部评分

keen-qv
发表于 2024-7-9 16:41:26 | 显示全部楼层
本帖最后由 keen-qv 于 2024-7-9 16:43 编辑

金山毒霸 14个
syswow64
发表于 2024-7-9 16:42:21 | 显示全部楼层
本帖最后由 syswow64 于 2024-7-9 16:59 编辑

SEP

杀21x,余6x





双击:SONAR杀了剩余的两个exe,VBS应该是个下载器,提示不能在虚拟机下运行。wab.exe可能是JS的下载衍生物。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +15 收起 理由
QVM360 + 15 版区有你更精彩: )

查看全部评分

Komeiji-Reimu
发表于 2024-7-9 16:45:43 | 显示全部楼层
本帖最后由 Komeiji-Reimu 于 2024-7-9 17:33 编辑

卡巴斯基 扫描剩余6x
双击杀两个vbs

双击后剩余dll文件外的

d4db39743a54bacc03cdb4d4d772000823f099febea271a44d40631cc01a2a0c
050e979722f8a3be5a07806d3ebbbac067ff293ed225faff452aa6145ef21c96


----------------
360非第一时间扫描

kill 22x


双击
5e2839553458547a92fff7348862063b30510e805a550e02d94a89bd8fd0768d miss
95ff9b2516243fd104555cb9b3fa51b27adeba8f27a80c0f69f7918599938e27 Hips




b116c1e0f92dca485565d5f7f3b572d7f01724062320597733b9dbf6dd84dee1 miss
e4c4990451cfa8c8a75a65d68c8dc7efde67ba3cdca812636895f8488005da54 miss
f71c34128bf5c4a4ecc05e5aa4fbd02740b96c4aaf075124f3a4e33f36c17c92 Hips拦截一些






----------------

Avast免费版
扫描 kill 26x(强大)



剩余 b116c1e0f92dca485565d5f7f3b572d7f01724062320597733b9dbf6dd84dee1 双击分析为安全,miss


--------------------

火绒
扫描杀12x



双击

5e2839553458547a92fff7348862063b30510e805a550e02d94a89bd8fd0768d 没反应
050e979722f8a3be5a07806d3ebbbac067ff293ed225faff452aa6145ef21c96 miss
95ff9b2516243fd104555cb9b3fa51b27adeba8f27a80c0f69f7918599938e27 hips拦截一个


306f6928f04ff30ced95163cc97981ea9d0c4a51da496df9b1f44aeecc29e63f  没反应
04684dfe5b251dd66125708589b7b21f3403ba7a624f4457b3fd95bbfbe4f6cc 没反应
540496b0cde097cb083d1c501af7b0ed84c5e94922be37700bfa44c2090ecfbc kill


b116c1e0f92dca485565d5f7f3b572d7f01724062320597733b9dbf6dd84dee1 没反应
d4db39743a54bacc03cdb4d4d772000823f099febea271a44d40631cc01a2a0c 正常安装运行

de8a9c273adc8bd2c615a7e09c87cb8b9cfc38ef6317bfa435b4a3474f1b670f  miss
e4c4990451cfa8c8a75a65d68c8dc7efde67ba3cdca812636895f8488005da54 miss
e33fda9ea628ee0efe54b54a20a9e6aff7cd64d293f3b67c71f11d3035c17764 miss
f6cbc49b4d78b007e50e81a36ad9fe723e8869350385dff56b02e6bbe0f886de miss
f71c34128bf5c4a4ecc05e5aa4fbd02740b96c4aaf075124f3a4e33f36c17c92 kill


dll未测,剩余一个运行后自删

-------------------
文件太多,不适用于测试单步Hips,故未测试冰盾






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +45 收起 理由
QVM360 + 45 多款产品双击奖励

查看全部评分

shulun743
头像被屏蔽
发表于 2024-7-9 16:46:10 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
莒县小哥
发表于 2024-7-9 16:48:30 | 显示全部楼层
本帖最后由 莒县小哥 于 2024-7-9 16:52 编辑

WD清空

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
QVM360
 楼主| 发表于 2024-7-9 16:52:17 | 显示全部楼层
Chyxs 发表于 2024-7-9 16:41
卡巴 miss 1
050e979722f8a3be5a07806d3ebbbac067ff293ed225faff452aa6145ef21c96.exe



我用的盗版?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-7-20 17:04 , Processed in 0.123428 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表