【开放测试】卡饭病毒样本包 20240712 第143期

wwwab

本次提供4个下载方式：
下载1：https://pan.huang1111.cn/s/4Ryq4sg 访问密码：2jRaAGP5
下载2：https://pan.xiaomuxi.cn/s/eRaiX 访问密码：9GN3giNQ
下载3（有效期24h）：https://f.ws59.cn/f/ekscx33fpdk 访问密码:94110421
下载4：infected2024071201.zip - 蓝奏云 (lanzoue.com)
压缩包SHA-256: dfe89f257480a30d822c32d148b4f4af951222dc691922c3aef201e3ad502569

解压密码: infected


如果样本中包含.ps1文件(Powershell脚本)，则需要手动打开cmd.exe输入以下指令允许运行ps1脚本:

1. Powershell.exe Set-ExecutionPolicy Bypass

复制代码

当前测试阶段：开放测试

奖励/惩罚规则：
奖励规则：
1、上传扫描日志，+5经验。
2、上传双击结果，+10经验。
3、测试多款安全软件的，奖励累加。
惩罚规则：
1、在三小时内未能提供测试结果的按照灌水处理。
2、正式测试时间内，泄露样本下载链接，屏蔽并交给督查组处理。
3、其他违规行为，按照论坛相关规定处理。

温馨提示与免责声明：仅供学习、研究、测试用途，样本可能具有威胁您的计算机安全的风险，下载即代表您应自行承担相应带来的所有风险。



----------------------------------------------------
往期测试样本包下载：
https://mc163.lanzoue.com/b0edaxo1g
密码:GkNO64bFD5bf

ANY.LNK

微软：目前阶段：解压+扫描
结果：

1. 2024-07-12T08:43:26.598Z Version: Product 4.18.24050.7 Service 4.18.24050.7 Engine 1.1.24060.5 AS 1.415.52.0 AV 1.415.52.0
   
2. 2024-07-12T09:55:18.177Z DETECTION Trojan:VBS/FormBook.NNG!MTB file:C:\Users\A.LINK\Downloads\infected2024071201\Download\I-MY-5323785035-D03395124_20240711081006.vbs
   
3. 2024-07-12T09:55:18.223Z DETECTION Trojan:Win32/GuLoader.KEWK!MTB file:C:\Users\A.LINK\Downloads\infected2024071201\Download\IT01879020517_uGIim_xml路pdf.exe
   
4. 2024-07-12T09:55:18.241Z DETECTION Trojan:VBS/GuLoader.RTCX!MTB file:C:\Users\A.LINK\Downloads\infected2024071201\Download\02072024_1624_02072024_NUMER FAKTURY PILNIE WYMAGANY 240702.vbs
   
5. 2024-07-12T09:55:18.304Z DETECTION Trojan:VBS/GuLoader.RTCX!MTB file:C:\Users\A.LINK\Downloads\infected2024071201\Download\147e7953d3b54a9e8367d9e9670a4a182824f56cf30d35a315799a1953e5cdb1.vbs
   
6. 2024-07-12T09:55:18.454Z DETECTION Trojan:Win32/Leonem file:C:\Users\A.LINK\Downloads\infected2024071201\Download\aa012e5b757959f95b14b9866f36c49335096a95b4f058ee9a85b6552a0e168d.vbs
   
7. 2024-07-12T09:55:18.653Z DETECTION Trojan:Win32/Leonem file:C:\Users\A.LINK\Downloads\infected2024071201\Download\vNrcPvMYLZmn2cc.exe
   
8. 2024-07-12T09:55:19.023Z DETECTION Trojan:Script/Wacatac.H!ml file:C:\Users\A.LINK\Downloads\infected2024071201\Download\crosscheckrosefloweronhairbeauty.vbs
   
9. 2024-07-12T09:55:19.043Z DETECTION Trojan:VBS/GuLoader.RTCX!MTB file:C:\Users\A.LINK\Downloads\infected2024071201\Download\19c968f716107aea4fb7bf7fdeb9f8821b4aa1ea8593137a08322356c80460cd.vbs
   
10. 2024-07-12T09:55:19.387Z DETECTION Trojan:Win32/Strab.GPCX!MTB file:C:\Users\A.LINK\Downloads\infected2024071201\Download\PO#76215720223.exe
    
11. 2024-07-12T09:55:19.893Z DETECTION Trojan:Win32/AgentTesla!ml file:C:\Users\A.LINK\Downloads\infected2024071201\Download\inquiry for AP-103- FM-2400 project.exe
    
12. 2024-07-12T09:55:20.331Z DETECTION Trojan:Win32/Znyonm file:C:\Users\A.LINK\Downloads\infected2024071201\Download\CATALOGUE.exe
    
13. 2024-07-12T09:55:20.785Z DETECTION Trojan:Win32/AgentTesla!ml file:C:\Users\A.LINK\Downloads\infected2024071201\Download\QUOTATION_JULQTRA071244煤PDF.scr.exe
    
14. 2024-07-12T09:55:21.190Z DETECTION Trojan:Win32/WinLNK.VGAT!MTB file:C:\Users\A.LINK\Downloads\infected2024071201\Download\0040de802062e7a83c6f785781873e9c78ec3fe70b8a3c7c3274fdce08b6a6c1.lnk
    
15. 2024-07-12T09:55:21.669Z DETECTION Trojan:Win32/Wacatac.H!ml file:C:\Users\A.LINK\Downloads\infected2024071201\Download\Purchase order(600010310,10303).exe
    
16. 2024-07-12T09:55:21.709Z DETECTION Trojan:BAT/Alien.RP!MTB file:C:\Users\A.LINK\Downloads\infected2024071201\Download\Loader.bat
    
17. 2024-07-12T09:55:22.115Z DETECTION Trojan:Win32/Casdet!rfn file:C:\Users\A.LINK\Downloads\infected2024071201\Download\732a6bf2345e9cc40b9a6a1164dc2e823955cbc56a5d3750e675d1c4db7f7415.lnk
    
18. 2024-07-12T09:55:22.602Z DETECTION Trojan:Win32/Strab.GPCX!MTB file:C:\Users\A.LINK\Downloads\infected2024071201\Download\04.exe
    
19. 2024-07-12T09:55:23.075Z DETECTION Trojan:Win32/Strab.GPCX!MTB file:C:\Users\A.LINK\Downloads\infected2024071201\Download\ss.exe
    

复制代码

下一阶段：尝试执行，进行中……

doc20240712.exe，双击启动，然后被机器学习击杀，NSIS报错窗口弹出然后很快退出

1. Microsoft Defender 防病毒 检测到恶意软件或其他可能不需要的软件。
   
2. 有关详细信息，请参阅以下内容:
   
3. https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Script/Wacatac.H!ml&threatid=2147814524&enterprise=0
   
4.          名称: Trojan:Script/Wacatac.H!ml
   
5.          ID: 2147814524
   
6.          严重性: 严重
   
7.          类别: 特洛伊木马
   
8.          路径: file:_C:\Users\MalTVM\Downloads\infected2024071201\Download\doc20240712-00041.exe; process:_pid:9172,ProcessStart:133652545041601250
   
9.          检测起源: 本地计算机
   
10.          检测类型: 快速路径
    
11.          检测源: 实时保护
    
12.          用户: TESTVM\MalTVM
    
13.          进程名称: C:\Users\MalTVM\Downloads\infected2024071201\Download\doc20240712-00041.exe
    
14.          安全智能版本: AV: 1.415.56.0, AS: 1.415.56.0, NIS: 1.415.56.0
    
15.          引擎版本: AM: 1.1.24060.5, NIS: 1.1.24060.5

复制代码

update.ps1 运行输出以下结果，未被拦截，启动了aspnet进程




后继补充：不久后，AMSI报告了进程并结束

1. Microsoft Defender 防病毒 检测到恶意软件或其他可能不需要的软件。
   
2. 有关详细信息，请参阅以下内容:
   
3. https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:MSIL/FormBook.CD!MTB&threatid=2147754439&enterprise=0
   
4.         名称: Trojan:MSIL/FormBook.CD!MTB
   
5.         ID: 2147754439
   
6.         严重性: 严重
   
7.         类别: 特洛伊木马
   
8.         路径: amsi:_\Device\HarddiskVolume3\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regbrowsers.exe
   
9.         检测起源: 未知
   
10.         检测类型: 快速路径
    
11.         检测源: AMSI
    
12.         用户: TESTVM\MalTVM
    
13.         进程名称: C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regbrowsers.exe
    
14.         安全智能版本: AV: 1.415.56.0, AS: 1.415.56.0, NIS: 1.415.56.0
    
15.         引擎版本: AM: 1.1.24060.5, NIS: 1.1.24060.5

复制代码

2c77……dll 按照VT上的rundll32命令执行

未被拦截，成功释放了白加黑的ShellExperence.exe和UTforPC.dll并执行



以上，测试完成

1073328164

迈克菲扫描 kill 12x

QVM360

Kaspersky

剩余
2c778d65ff3ddb44732faf2be85ca0205667be3d87ac14acc48675dca9439e97.dll
Loader.bat
update.ps1

UNknownOoo

Huorong5
扫描：8x

1. 病毒库时间：2024-07-11 18:42
   
2. 开始时间：2024-07-12 18:00
   
3. 总计用时：00:00:39
   
4. 扫描对象：154
   
5. 扫描文件：21
   
6. 发现风险：8
   
7. 已处理风险：0
   
8. 病毒详情：
   
9. 风险路径：C:\下载\Download\04.exe, 病毒名：HVM:VirTool/Obfuscator.gen!A, 病毒ID：b27d4294cde6a1ec, 处理结果：暂不处理
   
10. 风险路径：C:\下载\Download\doc20240712-00041.exe >> [NSIS].nsi, 病毒名：Trojan/Injector.bon, 病毒ID：e2164814aeabafed, 处理结果：暂不处理
    
11. 风险路径：C:\下载\Download\Loader.bat, 病毒名：Trojan/BAT.Agent.cj, 病毒ID：e7aaaf22845f3018, 处理结果：暂不处理
    
12. 风险路径：C:\下载\Download\PO#76215720223.exe, 病毒名：HVM:VirTool/Obfuscator.gen!A, 病毒ID：b27d4294cde6a1ec, 处理结果：暂不处理
    
13. 风险路径：C:\下载\Download\QUOTATION_JULQTRA071244煤PDF.scr.exe, 病毒名：TrojanDownloader/MSIL.Agent.yh, 病毒ID：216cb1b98f3ef808, 处理结果：暂不处理
    
14. 风险路径：C:\下载\Download\ss.exe, 病毒名：HVM:VirTool/Obfuscator.gen!A, 病毒ID：b27d4294cde6a1ec, 处理结果：暂不处理
    
15. 风险路径：C:\下载\Download\update.ps1, 病毒名：Trojan/PS.Encpe.a, 病毒ID：2b51e8496b7c9729, 处理结果：暂不处理
    
16. 风险路径：C:\下载\Download\vNrcPvMYLZmn2cc.exe, 病毒名：TrojanSpy/MSIL.AgentTesla.mq, 病毒ID：e6db7a4b5c5a5e0b, 处理结果：暂不处理

复制代码

X-Sec
扫描：13x

1. ---------------------
   
2. 2024/07/12 18:01:48 Threat Detected: C:\下载\Download\0040de802062e7a83c6f785781873e9c78ec3fe70b8a3c7c3274fdce08b6a6c1.lnk -- [xave-heur] Heur:Trojan.PSRunner
   
3. 2024/07/12 18:01:50 Threat Detected: C:\下载\Download\04.exe -- [rame-classic] Trojan.Injector/Autoit!1.FD30
   
4. 2024/07/12 18:01:50 Threat Detected: C:\下载\Download\732a6bf2345e9cc40b9a6a1164dc2e823955cbc56a5d3750e675d1c4db7f7415.lnk -- [xave-heur] Heur:Trojan.PSRunner
   
5. 2024/07/12 18:01:51 Threat Detected: C:\下载\Download\CATALOGUE.exe -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.98
   
6. 2024/07/12 18:01:53 Threat Detected: C:\下载\Download\I-MY-5323785035-D03395124_20240711081006.vbs -- [rame-cloud] Trojan.SAgent/VBS!8.132D5
   
7. 2024/07/12 18:01:54 Threat Detected: C:\下载\Download\inquiry for AP-103- FM-2400 project.exe -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.98
   
8. 2024/07/12 18:01:54 Threat Detected: C:\下载\Download\Loader.bat -- [rame-cloud] Trojan.Alien/BAT!8.1886B
   
9. 2024/07/12 18:01:54 Threat Detected: C:\下载\Download\PO#76215720223.exe -- [rame-classic] Trojan.Injector/Autoit!1.FD30
   
10. 2024/07/12 18:01:55 Threat Detected: C:\下载\Download\QUOTATION_JULQTRA071244煤PDF.scr.exe -- [xave-classic] Suspicious:Malware.FakeExt
    
11. 2024/07/12 18:01:55 Threat Detected: C:\下载\Download\Purchase order(600010310,10303).exe -- [rame-cloud] Trojan.Kryptik!8.8
    
12. 2024/07/12 18:01:59 Threat Detected: C:\下载\Download\update.ps1 -- [rame-topis] Trojan.Undefined!8.1327C
    
13. 2024/07/12 18:01:59 Threat Detected: C:\下载\Download\ss.exe -- [rame-classic] Trojan.Injector/Autoit!1.FD30
    
14. 2024/07/12 18:02:00 Threat Detected: C:\下载\Download\vNrcPvMYLZmn2cc.exe -- [rame-cloud] Trojan.Kryptik!8.8

复制代码

DisaPDB

360 初扫15x

二扫 2x

扫描日志附上：360Safescanlog.rar
双击

Loader.bat



I-MY-5323785035-D03395124_20240711081006.vbs miss

update.ps1 拦截四次注入

1. 时间        操作        说明        次数
   
2. 2024-07-12 18:18:55        [已阻止]          远程线程注入        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
   
5. 动作：远程线程注入
   
6. 路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regbrowsers.exe (6)
   
7. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
   
8. 
   
9. 防护信息: AD|2, 88|10, 10, -1||
   
10. 2024-07-12 18:18:53        [已阻止]          远程线程注入        防护 1 次
    
11. 详细描述：
    
12. 进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
13. 动作：远程线程注入
    
14. 路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regbrowsers.exe (6)
    
15. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
16. 
    
17. 防护信息: AD|2, 88|10, 10, -1||
    
18. 2024-07-12 18:18:41        [已阻止]          远程线程注入        防护 1 次
    
19. 详细描述：
    
20. 进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
21. 动作：远程线程注入
    
22. 路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regbrowsers.exe (6)
    
23. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
24. 
    
25. 防护信息: AD|2, 88|10, 10, -1||
    
26. 2024-07-12 18:18:29        [已阻止]          远程线程注入        防护 1 次
    
27. 详细描述：
    
28. 进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
29. 动作：远程线程注入
    
30. 路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regbrowsers.exe (6)
    
31. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
32. 
    
33. 防护信息: AD|2, 88|10, 10, -1||
    
34. 2024-07-12 18:18:16        [已阻止]          远程线程注入        防护 1 次
    
35. 详细描述：
    
36. 进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
37. 动作：远程线程注入
    
38. 路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regbrowsers.exe (6)
    
39. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
40. 
    

复制代码

dll能直接rundll或者regsvr32运行吗
编辑：单独测试dll com服务成功注册，360无反应，miss
   @wwwab  @QVM360

合计 19/21。

123456aaaafsdeg

江民

nikonikoni

蜘蛛扫描3x

1. 2024/7/12 18:10 扫描仪 侦测到威胁 对象： PO#76215720223.exe 威胁： Trojan.AutoIt.1410 操作： Moved to quarantine 路径： D:\v\PO#76215720223.exe
   
2. 2024/7/12 18:10 扫描仪 侦测到威胁 对象： ss.exe 威胁： Trojan.AutoIt.1410 操作： Moved to quarantine 路径： D:\v\ss.exe
   
3. 2024/7/12 18:10 扫描仪 侦测到威胁 对象： 04.exe 威胁： Trojan.AutoIt.1410 操作： Moved to quarantine 路径： D:\v\04.exe
   

复制代码

这也反向表明了蜘蛛对新样本的入库速度极快不是么

11111111111445

Avast 扫描18x 剩余

xmt12

360 18x
遥遥领先 12x
WD 7x
双击
Loader.bat：360 华为 kill 衍生物（update.exe）
update.ps1：360拦截远程线程注入