【开放测试】卡饭病毒样本包 20241003 第166期

keen-qv

123456aaaafsdeg 发表于 2024-10-3 17:01
瑞星2011

这个版本很流氓，一会儿你就会发现主页被改成了瑞星导航，我试过这个版本

btbtg

奇安信顽固木马专杀扫描结果：13/15

剩余：3/15

其中REP_89419812646634117.doc为修复的文件
日志：

Raven95676

赶上了（

Avira Free

默认设置

解压+扫描剩余5x：



双击：



附注：
d472c895106cfebcb6eea8701416aed96b9770c256432ee7ee7a9b8a60a6d254.xls 双击后无反应

hta无法运行


隔离区出现bug，故以剩余文件为准

日志：



Avast Free

默认设置

解压11x：



双击：
31d2bac123d451caed79ced03b80592dacc3499f6c91a9e32630d3590d52a6c0.exe


0c5b00311b9e7f3e749e8f2c2bb639ee32f2de89bedf1c572391dedcdd10765e.exe
在等待相当长的一段时间后


63f2e49bd14880bed0033cbf0878ee50f18555432d3ad1439b304e6a2dc00fc6.msi
miss


附注：
d472c895106cfebcb6eea8701416aed96b9770c256432ee7ee7a9b8a60a6d254.xls 双击后无反应

Elastic

静态kill 8x miss 6x



双击：
REP_89419812646634117.doc


IEnetbookupdation.hta


1618780b8570f9b44fdd73513c6aa8069eb8a9151a22d83b178c5be6eb125013.vbs


63f2e49bd14880bed0033cbf0878ee50f18555432d3ad1439b304e6a2dc00fc6.msi
miss

但是edr有反应
First Time Seen Commonly Abused Remote Access Tool Execution


附注：
两个xls无反应


还有拉过来测着玩的
Panda Free

默认设置

扫描6x

123456aaaafsdeg

keen-qv 发表于 2024-10-3 17:32
这个版本很流氓，一会儿你就会发现主页被改成了瑞星导航，我试过这个版本

暂时没发现被更改

btbtg

NPE扫描结果：14/15

剩余：1/15

Loyisa

123456aaaafsdeg 发表于 2024-10-3 17:18
费尔：0

想看启发拉最高

123456aaaafsdeg

Loyisa 发表于 2024-10-3 17:56
想看启发拉最高

启发已经是最高的了

断簪

Raven95676 发表于 2024-10-3 17:34
赶上了（
本次涉及到的杀毒软件均为默认设置

SENTRY没反应吗

Raven95676

断簪 发表于 2024-10-3 18:32
SENTRY没反应吗

确定了一下日志，没有

Fadouse

MDE + DI 15/15 ~= 100%

---

静态Miss 5x

---

双击 REP_89419812646634117.doc -> MDE 拦截



双击 IEnetbookupdation.hta -> DI 拦截


双击 d472c895106cfebcb6eea8701416aed96b9770c256432ee7ee7a9b8a60a6d254.xls -> MDE Kill

双击 63f2e49bd14880bed0033cbf0878ee50f18555432d3ad1439b304e6a2dc00fc6.msi -> DI Kill衍生物


双击 3e0a6e80d4427d22bc807628032ba1e1fbf9b733a8b5db26f5c2cc2bae55bb1c.xls -> MDE Kill