【开放测试】卡饭病毒样本包 20240723 第150期

wwwab

本次共提供4个下载方式：
下载1: https://pan.huang1111.cn/s/A66zRTB  访问密码: WfQ1Wd7n
下载2：https://pan.xiaomuxi.cn/s/mWLsw  访问密码: BPTn5doR
下载3（有效期24h）: https://f.ws28.cn/f/env749577zs  访问密码: 59136478
下载4：infected2024072301.zip - 蓝奏云 (lanzoue.com)

压缩包SHA-256: 82c1a19d0164f2a7bf5bea24461e2c56ffeca9c5a0b2a58f108be3c2706f546e

解压密码: infected


当前测试阶段：开放测试

奖励/惩罚规则：
奖励规则：
1、上传扫描日志，+5经验。
2、上传双击结果，+10经验。
3、测试多款安全软件的，奖励累加。
惩罚规则：
1、在三小时内未能提供测试结果的按照灌水处理。
2、正式测试时间内，泄露样本下载链接，屏蔽并交给督查组处理。
3、其他违规行为，按照论坛相关规定处理。

温馨提示与免责声明：样本仅供学习、研究、测试用途，测试前您应知晓：样本可能具有威胁您的计算机安全的风险，下载即代表您应自行承担相应带来的所有风险。

aboringman

Avast：19

1. C:\Users\Killer\Desktop\infected2024072301\Downloads\669f1f00c4708.ps1 [L] PwrSh:Obfuscated-AI [Cryp] (0)
   
2. C:\Users\Killer\Desktop\infected2024072301\Downloads\Balance PI EMESSA JOB# 18863 LPO-EBC2024RMILPOPP198 Proj# NRTC.exe [L] Win32:PWSX-gen [Trj] (0)
   
3. C:\Users\Killer\Desktop\infected2024072301\Downloads\Banco_BPM__Copia_del_Pagamento.bat [L] Script:SNH-gen [Trj] (0)
   
4. C:\Users\Killer\Desktop\infected2024072301\Downloads\BOQ and Drawings.exe [L] Win64:PWSX-gen [Trj] (0)
   
5. C:\Users\Killer\Desktop\infected2024072301\Downloads\Comprobante de pago (PAGOS BBVA).exe [L] Win32:PWSX-gen [Trj] (0)
   
6. C:\Users\Killer\Desktop\infected2024072301\Downloads\2.exe [L] Win32:BotX-gen [Trj] (0)
   
7. C:\Users\Killer\Desktop\infected2024072301\Downloads\amadka.exe [L] Win32:Evo-gen [Trj] (0)
   
8. C:\Users\Killer\Desktop\infected2024072301\Downloads\flzdee4r5pdcjfdxwvbmjx2a.exe [L] Win32:BotX-gen [Trj] (0)
   
9. C:\Users\Killer\Desktop\infected2024072301\Downloads\hohol.exe [L] Win32:MalwareX-gen [Trj] (0)
   
10. C:\Users\Killer\Desktop\infected2024072301\Downloads\ndplanernes.exe [L] Win32:Malware-gen (0)
    
11. C:\Users\Killer\Desktop\infected2024072301\Downloads\Pro forma invoice-C10057603-BS ULSAN.exe [L] Win32:PWSX-gen [Trj] (0)
    
12. C:\Users\Killer\Desktop\infected2024072301\Downloads\hello.exe [L] Win64:MalwareX-gen [Trj] (0)
    
13. C:\Users\Killer\Desktop\infected2024072301\Downloads\QNB SWIFT PAYMENT INTER-BANK SETTLEMENT FT22037358.exe [L] Win32:Malware-gen (0)
    
14. C:\Users\Killer\Desktop\infected2024072301\Downloads\SALES CONTRACT FCL004947554_4885744.exe|>nsis.hdr [L] NSIS:CrypterX-gen [Trj] (0)
    
15. C:\Users\Killer\Desktop\infected2024072301\Downloads\Setup .exe [L] Win64:Malware-gen (0)
    
16. C:\Users\Killer\Desktop\infected2024072301\Downloads\zZSVA6xVEqF18fq.exe [L] Win32:PWSX-gen [Trj] (0)
    
17. C:\Users\Killer\Desktop\infected2024072301\Downloads\reactualizations klaskenes.exe [L] Win32:Malware-gen (0)
    
18. C:\Users\Killer\Desktop\infected2024072301\Downloads\setup.exe [L] Win64:Evo-gen [Trj] (0)
    
19. C:\Users\Killer\Desktop\infected2024072301\Downloads\crt.exe [L] FileRepMalware [Adw] (0)
    
20. C:\Users\Killer\Desktop\infected2024072301\Downloads\SALES CONTRACT FCL004947554_4885744.exe [L] FileRepMalware [Trj] (0)

复制代码

Setup.exe（两个重名，这个是剩下的那个）：等了一段时间击杀了1个衍生物，但是被注入的Searchindexer.exe并没有被结束，一段时间后又触发行为防护干掉了另一个衍生物（





PS.这玩意似乎有文件名检测，如果文件名被修改可能会跑不起来，这种重名的样本最好还是分开建个文件夹单独放（

Tystnendes.exe：双击直接击杀，EvoGen

inhh1

cs落地杀14x（由于是落地就杀，没有log）执行杀ps1脚本 QNB开头的exe crt.exe
其他miss（由于是断网，可能实际还会有一定差异）

奇安信天擎扫描剩5x 执行补杀脚本 其他没反应

bd
实时防护（落地杀）19x
执行杀衍生物1x（crt.exe) ATD 1x（setup）

孤勇者

卡巴斯基扫描kill19/21

莒县小哥

WD清空

biue

腾讯电脑管家
双击0



火绒（开启高启发）

驭龙

默认云安全级别的MD，告诉你真实的MD是什么样子
剩余样本十个，默认云安全级别就是所有MD普通用户的真实水平。

补充说明，BFS也就是首次看见时阻止，这功能无法关闭。


所以这里出现一个Trojan:Win32/Wacatac.H!ml动态签名报法，应该就是BFS了。初步猜测Trojan:Win32/Wacatac.H!ml极有可能就是MD的BFS功能最新报法，但其他！ML后缀应该不是。

顺便一提Trojan:Win32/Wacatac.H!ml报法与云等级也有关系，触发条件规则很多。
DSS不等于BFS，而我这里的云是默认，通常触发其他DSS的可能性比较低，因此初步推断Trojan:Win32/Wacatac.H!ml是BFS，但BFS不是快速签名，也就是云特征码动态签名服务，BFS只是调用DSS的云特征进行拉黑
遵照官方技术文档的方案，禁用自动提交样本，可以强制禁用BFS检测，以此来确认Trojan:Win32/Wacatac.H!ml是不是BFS，比较可靠。

重要

阻止第一眼看到 (BAFS) 提供引爆和分析，以确定文件或进程是否安全。 BAFS 可以暂时延迟打开文件，直到做出判决。 如果禁用示例提交，也会禁用 BAFS，并且文件分析仅限于元数据。 建议保持示例提交和 BAFS 启用状态。 若要了解详细信息，请参阅 什么是“一见即刻阻止”？

以另一个帖子的样本测试
https://bbs.kafan.cn/thread-2271445-1-1.html
该帖子中已经有开启BFS和高级别云的饭友测试，报法是Trojan:Win32/Wacatac.H!ml

而我遵照官方技术文档方案，以禁用自动提交样本方法关闭，BFS报法。
得到以下测试结果

事件日志记录


在关闭BFS功能以后，同一个样本，并未出现Trojan:Win32/Wacatac.H!ml报法，而是其他的云报法，所以我还是初步认为Trojan:Win32/Wacatac.H!ml报法与BFS功能有关系，但仅仅是单一测试，并不可靠，只是一种不严谨的猜测，因此，以上结果仅供参考

完整日志
Begin Resource Scan
Scan ID:{0ECBEC74-B420-48F5-9EC2-1D2096B15ED7}
Scan Source:6
Start Time:07-23-2024 13:07:05
End Time:07-23-2024 13:08:04
Explicit resource to scan
Resource Schema:containerfile
Resource Path:D:\vir\infected2024072301\Downloads\669f1f00c4708.ps1
Explicit resource to scan
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\669f1f00c4708.ps1->(UTF-8)
Explicit resource to scan
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\amadka.exe
Explicit resource to scan
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\Balance PI EMESSA JOB# 18863 LPO-EBC2024RMILPOPP198 Proj# NRTC.exe
Explicit resource to scan
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\BOQ and Drawings.exe
Explicit resource to scan
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\Comprobante de pago (PAGOS BBVA).exe
Explicit resource to scan
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\Pro forma invoice-C10057603-BS ULSAN.exe
Explicit resource to scan
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\QNB SWIFT PAYMENT INTER-BANK SETTLEMENT FT22037358.exe
Explicit resource to scan
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\SALES CONTRACT FCL004947554_4885744.exe
Explicit resource to scan
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\setup.exe
Explicit resource to scan
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\zZSVA6xVEqF18fq.exe
Result Count:6
Threat Name:Trojan:Win32/Wacatac.H!ml
ID:2147814523
Severity:5
Number of Resources:1
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\amadka.exe
Extended Info - SigSeq:000026676ffbb45d
Extended Info - SigSha:18794b9f072614553846799930aa110e976c3e76
Threat Name:Trojan:MSIL/Formbook.AMAR!MTB
ID:2147916542
Severity:5
Number of Resources:5
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\zZSVA6xVEqF18fq.exe
Extended Info - SigSeq:0000347858c5504c
Extended Info - SigSha:cc6287a015040b7324cf3bb0320672dd8486dabd
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\Pro forma invoice-C10057603-BS ULSAN.exe
Extended Info - SigSeq:0000347858c5504c
Extended Info - SigSha:cc6287a015040b7324cf3bb0320672dd8486dabd
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\Comprobante de pago (PAGOS BBVA).exe
Extended Info - SigSeq:0000347858c5504c
Extended Info - SigSha:cc6287a015040b7324cf3bb0320672dd8486dabd
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\BOQ and Drawings.exe
Extended Info - SigSeq:0000347858c5504c
Extended Info - SigSha:cc6287a015040b7324cf3bb0320672dd8486dabd
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\Balance PI EMESSA JOB# 18863 LPO-EBC2024RMILPOPP198 Proj# NRTC.exe
Extended Info - SigSeq:0000347858c5504c
Extended Info - SigSha:cc6287a015040b7324cf3bb0320672dd8486dabd
Threat Name:Trojan:Win32/AgentTesla!ml
ID:2147760503
Severity:5
Number of Resources:1
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\QNB SWIFT PAYMENT INTER-BANK SETTLEMENT FT22037358.exe
Extended Info - SigSeq:00002667417d443b
Extended Info - SigSha:b57bea6bc2be9f8ae0368849ee3bd06ca535a76f
Threat Name:Trojan:Win32/Leonem
ID:2147828166
Severity:5
Number of Resources:1
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\SALES CONTRACT FCL004947554_4885744.exe
Extended Info - SigSeq:0000166706cafbab
Extended Info - SigSha:1229a0bca75517bca2bff7e19f34c7f68f810112
Threat Name:Trojan:Win32/Malgent!MSR
ID:2147742994
Severity:5
Number of Resources:1
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\setup.exe
Extended Info - SigSeq:00001667be46c855
Extended Info - SigSha:486485ddd445cdbdd6606dcf371d641f8c0da5a8
Threat Name:TrojanDownloader:PowerShell/NetsupportRat.MA!MTB
ID:2147847804
Severity:5
Number of Resources:2
Resource Schema:file
Resource Path:D:\vir\infected2024072301\Downloads\669f1f00c4708.ps1->(UTF-8)
Extended Info - SigSeq:0000ba29c9083bba
Extended Info - SigSha:9df58bcc933f12fad68bc7c062ed50911f000a2c
Resource Schema:containerfile
Resource Path:D:\vir\infected2024072301\Downloads\669f1f00c4708.ps1
Extended Info - SigSeq:0000000000000000
Extended Info - SigSha:da39a3ee5e6b4b0d3255bfef95601890afd80709
End Scan

开启BFS和默认云等级以后，通过MD5修改器，修改其中一个样本CRT.EXE，然后双击样本。
MD弹出云扫描对话框，点击跳转到什么是云安全扫描？网页，显示出现此提示，就表示是BFS报法。
通过MD界面的历史记录，可见CRT.EXE样本被报为Trojan:Win32/Wacatac.H!ml报法。


如法炮制，再改一个样本的MD5，让其指纹发生变化，让MD以为是新文件，然后双击一下
报法是Trojan:Win32/Wacatac.H!ml


再修改一个样本，这次的报法改变了，是Trojan:Win32/Wacatac.B!ml了。


看来Wacatac触发规则很多，不能完全算是BFS报法，但低云级别，触发Trojan:Win32/Wacatac.H!ml有很大概率可能是BFS了。后续两次的测试，没有出现云安全扫描的提示框。
以上测试仅供参考，仅为探寻Trojan:Win32/Wacatac.H!ml报法是何种机制，仅此而已，因此测试结果仅供娱乐，不代表是准确无误的结果。

761773275

ESET 19X

莒县小哥

驭龙 发表于 2024-7-23 13:03
默认云安全级别的MD，告诉你真实的MD是什么样子
剩余样本十个，默认云安全级别就是所有MD普通用户的真实水 ...

龙大 差距这么大？还有一个疑问，日志上报法都是机器学习报的啊

klub

莒县小哥 发表于 2024-7-23 13:01
WD清空

确实很牛，小哥的MD是怎样设置，能说一下吗？