【开放测试】卡饭病毒样本包 20240710 第141期

wwwab

本次提供4个下载方式：
下载1：https://pan.huang1111.cn/s/Lxeolu6  访问密码：R4cxG6xq
下载2：https://pan.xiaomuxi.cn/s/DLKH0  访问密码：N9xg1W7U
下载3（有效期24h）：https://f.ws59.cn/f/ek71406t46l  访问密码：81676318
下载4：27x (2024-07-10).zip - 蓝奏云 (lanzoue.com)

压缩包SHA-256: c44f640644969368f69dc8dea6d6cf5b4ff7d33381dced6fa9bff1ebee6560a2

解压密码: infected

当前测试阶段：开放测试
奖励/惩罚规则：
奖励规则：
1、上传扫描日志，+5经验。
2、上传双击结果，+10经验。
3、测试多款安全软件的，奖励累加。
惩罚规则：
1、在三小时内未能提供测试结果的按照灌水处理。
2、正式测试时间内，泄露样本下载链接，屏蔽并交给督查组处理。
3、其他违规行为，按照论坛相关规定处理。
温馨提示与免责声明：仅供学习、研究、测试用途，样本可能具有威胁您的计算机安全的风险，下载即代表您应自行承担相应带来的所有风险。



双击.ps1格式的脚本前，请先打开cmd.exe，输入：

1. Powershell.exe -ExecutionPolicy Bypass

复制代码

以允许ps1脚本运行



往期测试样本包下载：
https://mc163.lanzoue.com/b0edaxo1g
密码:GkNO64bFD5bf

QVM360

KIS
20x



转入虚拟机中双击测试

先UDS拉黑一个文件名很长的

6月份核实工资报表&g._xlsx.exe，PDM干掉
https://app.any.run/tasks/c40bf3ba-4b6b-438d-9e54-0b79a5dfee95



djukebox.exe，PDM干掉
https://app.any.run/tasks/f90285bd-da9c-4314-a9e4-3f3c2fe0019c
#Lumma #LummaStealer

locksystem.ps1，其实是我昨天发的样本的衍生物
用powershell加密的勒索软件_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)
UDS拉黑

Quote - QUO0000_50502.scr.exe，拦截下载

1. http://zakk.co.za/cNIaomVvR247.bin

复制代码

https://app.any.run/tasks/75c372b1-888f-41f9-9b4f-c4c0723af6ae
#RemcosRAT

Uplata_391.cmd ，miss
Analysis Uplata_391.cmd (MD5: 021B302510D420645BF44B97BCDB80CA) Malicious activity - Interactive analysis ANY.RUN
#Formbook

volume.exe，PDM干掉

ANY.LNK

微软执行测试
解压+扫描

1. 2024-07-10T06:50:42.185Z Version: Product 4.18.24050.7 Service 4.18.24050.7 Engine 1.1.24060.5 AS 1.415.19.0 AV 1.415.19.0
   
2. 2024-07-10T08:21:52.079Z DETECTION Trojan:Script/GuLoader.RP!MTB file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\Arrival Notice_AWB 4560943391.vbe
   
3. 2024-07-10T08:21:53.245Z DETECTION Trojan:Win32/Leonem file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\Uplata_391.cmd
   
4. 2024-07-10T08:21:55.546Z DETECTION Trojan:PowerShell/Guloader!MTB file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\BL1+2 DRAFT.cmd
   
5. 2024-07-10T08:21:57.737Z DETECTION Trojan:Win32/Leonem file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\Request for Quotation.vbs
   
6. 2024-07-10T08:21:59.065Z DETECTION Trojan:VBS/GuLoader.TTZ!MTB file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\QUOTATION.vbs
   
7. 2024-07-10T08:22:00.679Z DETECTION Trojan:VBS/GuLoader.NND!MTB file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\enquiry.vbs
   
8. 2024-07-10T08:22:09.193Z DETECTION Trojan:VBS/GuLoader.RTCZ!MTB file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\SOA.vbs
   
9. 2024-07-10T08:22:12.090Z DETECTION Trojan:Win32/Leonem file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\nKn1jzmAenyHT92.exe
   
10. 2024-07-10T08:22:13.160Z DETECTION Trojan:MSIL/AgentTesla.MBXI!MTB file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\CrhxqqvkqMM5tgY.exe
    
11. 2024-07-10T08:22:15.338Z DETECTION Trojan:Script/Wacatac.H!ml file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\ucancrosstheflowerbeautiytogetin.vbs
    
12. 2024-07-10T08:22:15.883Z DETECTION Trojan:Win32/Leonem file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\ISF 10+2 Form+VGM - MX-M354N_20240709_134303.scr.exe
    
13. 2024-07-10T08:22:16.890Z DETECTION Trojan:Win32/Sonbokli.A!cl file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\6月份核实工资报表&g._xlsx.exe
    
14. 2024-07-10T08:22:17.411Z DETECTION Trojan:Win32/NSISInject!MTB file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\Quote - QUO0000_50502.scr.exe
    
15. 2024-07-10T08:22:17.484Z DETECTION Trojan:VBS/GuLoader.NMU!MTB file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\New_Order_Sheet_PO N° 08072024-36556_Samples_Specifications_Request_quotations_0000800070002024.vbs
    
16. 2024-07-10T08:22:18.595Z DETECTION Trojan:Win32/Strab.GPCX!MTB file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\HSBC Bank_Approvel Letter.exe
    
17. 2024-07-10T08:22:22.175Z DETECTION Trojan:Script/GuLoader.RP!MTB file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\NL 20240709112230.vbs
    
18. 2024-07-10T08:22:24.501Z DETECTION Trojan:Win32/Leonem file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\MV ALEXOS_VESSEL'S DESC.docx.scr
    
19. 2024-07-10T08:22:26.127Z DETECTION Trojan:Win32/AgentTesla!ml file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\hareketleriniz.exe
    
20. 2024-07-10T08:22:32.291Z DETECTION Trojan:Win32/Wacatac.B!ml file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\volumedwg.exe
    
21. 2024-07-10T08:22:36.248Z DETECTION Trojan:Win32/AgentTesla!ml file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\Packing list PL#9589-SL2024-03.exe
    
22. 2024-07-10T08:22:39.385Z DETECTION Trojan:Win32/Caynamer.A!ml file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\djukebox.exe
    
23. 2024-07-10T08:22:48.405Z DETECTION Backdoor:Win32/Bladabindi!ml file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\2cf12d7981e0434dbd32f02c9b5647f2.exe
    
24. 2024-07-10T08:22:53.387Z DETECTION Trojan:Win32/Casdet!rfn file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\volume.exe
    
25. 2024-07-10T08:23:01.730Z DETECTION Trojan:Win32/Wacatac.H!ml file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\0fa34507.exe
    
26. 2024-07-10T08:32:51.474Z DETECTION TrojanDownloader:Win32/Nemucod!ml file:C:\Users\A.LINK\Downloads\infected2024071001\downloads\Windows audio updater.js

复制代码

另：虚拟机正在更新，双击延后

双击测试：

locksystem.ps1 miss，除受限制文件夹访问保护的文件夹外，文件被加密



PS：中途有报告威胁的情况，排查后并非本体

（我应该在测试前建立一个快照的说

xt.png.ps1 运行后输出以下结果而后执行中断



再次用记事本打开原文件

报告



需要进一步确认运行状况

已成功在ProgramData目录下生成衍生物，目前暂未观察到后续进程

对成功生成的衍生物进行执行，未被阻拦，依据行为分析，应该是Stealer。可认为防御失败

真小读者

金山安全终端 5X


==========
7-11 二测，14X



剩余

Komeiji-Reimu

由于360拉黑太快快快，因此先测的360

卡巴斯基扫描 kill 21x

双击：
6月份核实工资报表&g._xlsx     没跑起来
djukebox  PDM

locksystem  kill


Quote - QUO0000_50502.scr  跑起来，拦截了网络访问

Uplata_391   跑起来了，不知道干了神马


volume PDM


----
火绒模拟正常使用，不开高启发
扫描kill 15x
(剩下的太多不太想双击)


双击：
6月份核实工资报表&g._xlsx       上线miss
CrhxqqvkqMM5tgY                   miss，而且还蓝屏了
djukebox                                   kill

enquiry    miss
New_Order_Sheet_PO N° 08072024-36556_Samples_Specifications_Request_quotations_0000800070002024   miss
nKn1jzmAenyHT92   miss
QUOTATION     miss
Quote - QUO0000_50502.scr   Hips一个后没触发拦截点

过了一会杀了


Request for Quotation   没跑起来
SOA       miss
ucancrosstheflowerbeautiytogetin    miss
locksystem      Hips拦截隐藏命令行执行，允许之后勒索启动，火绒毫无办法


。。。看来是不能很好地保护

----
360系统用版本太新开不了虚拟化核晶
初扫kill 15 + 1



双击：6月份核实工资报表&g._xlsx miss，上线远程地址39.97.203.24
Arrival Notice_AWB 4560943391 miss，随后云查杀
BL1+2 DRAFT Hips拦截

djukebox kill

enquiry 一段时间后kill

locksystem Hips

但是没有卵用，文件被加密了

NL 20240709112230  miss
SOA kill

Uplata_391 miss，跑起来了

Windows audio updater   Hips

xt.png     Hips

----
Avast

扫描 kill 22x




双击：
6月份核实工资报表&g._xlsx        miss后立刻kill

BL1+2 DRAFT  断开连接

djukebox   分析kill

locksystem            触发勒索保护然而并没有什么卵用，之后的样本都被加密了。。。

Quote - QUO0000_50502.scr        分析了半天kill


Avast这么强要不是误报太多真打算用了，不知道和后测有没有关系，可能有几分钟时间差不过kfa也很强，相当于和Avast战平，不愧是免费两兄弟

likexcm

ESSP 24x
剩余双击不报
6月份核实工资报表&g._xlsx.exe
enquiry.vbs
ucancrosstheflowerbeautiytogetin.vbs

hipoxiaxxx

FortiClient扫描18X

HSBC Bank_Approvel Letter.exe                                      W32/AI.Pallas.Suspicious
剩余以下9X

LOG：

莒县小哥

WD剩两枚

hansyu

McAfee 扫描 18x 双击 4x
missed 5x