【开放测试】卡饭病毒样本包 20240910 第161期

QVM360

警告：

       本主题帖中所包含的任何文件和附件都有危害你的计算机的可能，并且没有安全软件可以100%防护这些样本。样本仅供测试、交流和学习，禁止用于任何非法用途。
       请在虚拟机中测试样本。对于下载样本、附件以及点击链接所导致的任何数据泄露、破坏，以及所产生的任何损失，本人和卡饭论坛不负任何责任。

样本下载：

6x (2024-09-10).zip - 蓝奏云 (lanzoue.com)
https://homeserver.iepose.cn/download/Package_1EFB63414E99D4AA4AFAFE53A2EEE059.zip


SHA256: EE11844614201E93D69833721A34083DA16EDB8A0038D1B232C707E7248C74EA
压缩包密码：infected


如果样本中包含.ps1文件(Powershell脚本)，则需要手动打开cmd.exe输入以下指令允许运行ps1脚本:

Powershell.exe Set-ExecutionPolicy Bypass

奖励/惩罚规则：
正式测试期间的奖励规则：
1、参加完整扫描测试并提供未检测的样本的文件名，+5经验
2、上传相关截图（不再需要提供扫描日志），+5经验。
3、上传双击结果（必须带图或日志），+10~30经验。
4、测试多款安全软件的，奖励累加。
5、每期样本包会在正式测试期间评选最佳测试贴，只评选1贴，加80经验。
      被评选次数达到5次可PM我领取1魅力奖励。长期测试样本，也有魅力奖励。
惩罚规则：
1、占楼后2小时内未能给出测试结果的，视为灌水，按照论坛规定处理
2、其他违规行为，按照论坛相关规定处理。

注意：扫描/双击日志请以附件形式（压缩包）或图片上传，也可以 以1号字体放在回复中。         
          对于日志过长以至于影响会员刷帖/回帖体验的回复，管理人员有权进行屏蔽处理。

当前测试阶段：正式测试

----------------------------------------------------
往期测试样本包下载（可能不全）：
https://mc163.lanzoue.com/b0edaxo1g
密码:GkNO64bFD5bf

761773275

護士 4x

1. 在 halveringer jordnr.exe 检测到 Mal/Generic-S

复制代码

1. 在 1460531MES_S Quote.exe 检测到 Mal/Generic-S

复制代码

1. 在 66df5745ca628_SETUP.exe 检测到 Mal/Generic-S

复制代码

主防殺一個
processo trabalhista.vbs

1. 在 C:\Windows\System32\wscript.exe 检测到 C2_10a (T1071.001)

复制代码

金山毒霸下载后提示清除3个恶意文件，然而.....实际文件剩余了6个，清除貌似失败了？



后续扫描查杀4个，剩余2个


测完以后，脑子里依然回想着刚刚清除失败的事，我内心想的是会不会那三个直接复制进了隔离区里，文件夹里所有程序都还在，然后查杀了4个又在隔离区，所以一共是7个（当然这个推测肯定很多人会笑，能够理解，毕竟这软件bug太多，我也懵逼，只能这样神奇的思考）
于是看了看隔离区，是四个




第二次再测试，解压后没有任何安全提示，扫描4个

测试日志截图

Loyisa

恭喜毛豆在这次样本包中又获得了扫描missall的好成绩
Comodo 扫描miss all

---

66df4cfda9a79_software.exe - 双击入沙 尝试外联，但是c2死了 没有后续行为，HIPS无拦截项

---

66df5745ca628_SETUP.exe - 双击入沙 无外联，执行了BitLockerToGo.exe之后自己退了，HIPS无拦截项

---

1460531MES_S Quote.exe - 双击入沙 执行后释放衍生物到C:\Users\konsolas\AppData\Local\Temp下(释放到沙盒内的)
尝试注册服务失败

衍生物:

---

halveringer jordnr.exe  - 双击入沙 执行后通过PowerShell释放衍生物C:\Users\konsolas\AppData\Roaming\Palaeodictyopteron\testudskrivningsfaciliteters\Marinerede下(释放到沙盒内的)
无后续行为

衍生物:

---

Obsidian_Installer_v.3.15.msi - 双击入沙 HIPS拦截以下行为 安装后无事发生 没有外联

---

Processo Trabalhista.vbs - 双击入沙 在C:\ProgramData\ 创建了 output_file.vbs（文件是空的）
尝试设置以下注册表之后退了 五后续行为

呼啸山庄

Kaspersky Plus
版本 ： 21.18.5.438(a)
数据库发布日期 ： 2024/09/10 10:48 （论坛内特别版，试用激活）
设置：

• 检测到威胁后的操作：自动选择操作
• 文件类型：所有文件
• 启发式分析：深度扫描
• 优化：仅扫描新建和已修改的文件（未选中）
• 扫描复合文件：所有，未选中大于指定值时不解压和在后台扫描复合文件
• 扫描模式：智能模式
• 扫描技术：iSwift和iChecker已选中
  

入侵防御：

• 无法添加到现有组的应用程序的信任组：高限制
• 不选中信任具有数字签名的应用程序
  

文件反病毒 4x
即时文件扫描 2x
总计： 6x miss 0x



关闭文件反病毒待测
联网：清空
断网：66df5745ca628_SETUP.exe Block 其余清空

ongarabazanade

3604X剩余2X

Gloria_唯

火绒企业版 最新病毒库 全漏

未扫描出的文件有

1073328164

迈克菲扫描 kill 5x

miss以下

心痛的伤不起

1073328164 发表于 2024-9-10 14:04
迈克菲扫描 kill 5x

miss以下

不容易咖啡这么多

1073328164

心痛的伤不起 发表于 2024-9-10 14:14
不容易咖啡这么多

正式测试这块咖啡成绩一直不算差，毕竟基本是流行样本，而咖啡的入库效率还不错，但是咖啡面对fakeapp以及一些非常新的样本就容易吃瘪（自然双击主防还是能拦住一部分，但是我这边没条件测试）

僵尸爱上猫

BD 解压2

1. 功能：
   
2. 防毒
   
3. 
   
4. 檔案 D:\test\6x (2024-09-10)\1\Processo Trabalhista.vbs 已感染 Suspicious.Cloud.1.039416DAFB0000 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
   
5. 
   
6. 功能：
   
7. 防毒
   
8. 
   
9. 檔案 D:\test\6x (2024-09-10)\1\halveringer jordnr.exe 已感染 Gen:Suspicious.Cloud.2.Lu3@ai5qn2oi 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。

复制代码

双击2

1. 功能：
   
2. 防毒
   
3. 
   
4. 受 D:\test\6x (2024-09-10)\1\66df5745ca628_SETUP.exe 感染的應用程式 Gen:Suspicious.Cloud.2.@F0@a04kQggj 已移至隔離區。建議您執行系統掃描以確保您的系統乾淨。

复制代码

miss2

superLYT

essp剩下两个，下面那个ELGD放行，上面那个被Windows阻止，火绒最新病毒库杀五个

superLYT

Gloria_唯 发表于 2024-9-10 14:04
火绒企业版 最新病毒库 全漏

未扫描出的文件有

不是吧，火绒开了高启发式吗

孤勇者

卡巴斯基解压清空

Loyisa

superLYT 发表于 2024-9-10 14:37
不是吧，火绒开了高启发式吗

企业版没有高启发

Gloria_唯

superLYT 发表于 2024-9-10 14:37
不是吧，火绒开了高启发式吗

企业版是扫描引擎有阉割，而且没有高启发

YU2711

Apex One 监控+扫描0x

双击阻止2x66df5745ca628_SETUP.exe

halveringer jordnr.exe

skycai

来来来。火绒6.0开关高级启发，都是只有一个。
没有安装虚拟机，懒得测试双击了。