【开放测试】卡饭病毒样本包 20241010 第170期

Fadouse

警告：

       本主题帖中所包含的任何文件和附件都有危害你的计算机的可能，并且没有安全软件可以100%防护这些样本。样本仅供测试、交流和学习，禁止用于任何非法用途。
       请在虚拟机中测试样本。对于下载样本、附件以及点击链接所导致的任何数据泄露、破坏，以及所产生的任何损失，本人和卡饭论坛不负任何责任。

样本下载：
https://wormhole.app/x2mX4#aJwaB_qrtoOr562yV2Umrg
https://www.123865.com/s/HmItjv-W2P2?提取码:78X9
https://x.ws28.cn/f/farty2agy3u
https://homeserver.iepose.cn/dow ... 25BC02D7C484B38A.7z
sha256:
压缩包密码：infected

如果样本中包含.ps1文件(Powershell脚本)，则需要手动打开cmd.exe输入以下指令允许运行ps1脚本:

Powershell.exe Set-ExecutionPolicy Bypass

奖励/惩罚规则：
正式测试期间的奖励规则：
1、参加完整扫描测试，+5经验
2、上传相关截图（不再需要提供扫描日志），+5经验。
3、上传双击结果（必须带图或日志），+10~30经验。
4、测试多款安全软件的，奖励累加。
5、每期样本包会在正式测试期间评选最佳测试贴，只评选1贴，加80经验。
      被评选次数达到5次可PM我领取1魅力奖励。长期测试样本，也有魅力奖励。
惩罚规则：
1、占楼后2小时内未能给出测试结果的，视为灌水，按照论坛规定处理
2、其他违规行为，按照论坛相关规定处理。

注意：扫描/双击日志请以附件形式（压缩包）或图片上传，也可以 以1号字体放在回复中。         
          对于日志过长以至于影响会员刷帖/回帖体验的回复，管理人员有权进行屏蔽处理。

当前测试阶段：开放测试

123456aaaafsdeg

文件总数：14X

Loyisa

毛豆惯例的扫描0x

双击0x
共计0x
入沙9x

---

（没额外说就是入沙成功）
_(SCAN97810-0324-RMA).exe
在沙箱里创建服务被拿下了


3ce1c88a1bdaf19fc36eb85995e853b6.exe
crashed


41ecd979cc674d2a1189fde9da4899b13240154e9acb0e54cdd81e08624c2977.exe
RAR自解压包 释放了个NC Auth tool后 被hips拦截访问内存 无事发生



2024-10-11_af19f3633507a5fb8e1383bd25d68384_avoslocker_hijackloader_rhadamanthys.exe
#KeyLogger 被HIPS拿下后记录键盘失败




3693a3c182f20f34dfed51e88691ef6c.exe
极速crash


awb_shipping_doc_001700720242247820020031808174CN18003170072024_00000000pdf.js
外联后无事发生


DHL DOCUMENTS.exe
惯例的创建服务被卡住


download.exe
尝试注入explorer失败 然后退了



ec5436338b5216c9a280ff983a8ea344882414a03c24b54071c694220d026eef.exe
这样本的C2是不是写错了 连内网干什么


email.js
建了个文件自己退了


file.exe
有虚拟机检测 退的很快

js-beautified-1.js
无动作

main.exe
虚拟机检测

MTCN_Details_pdf.js
同js-beautified-1.js 没动作

---

海王啊!↓

Raven95676

除elastic外，本次测试所有杀软为默认设置

avira free

总结：miss 3x

解压+扫描剩余4x


双击：


awb_略.js miss

MTCN_Details_pdf.js miss

email.js miss

日志：


kaspersky standard

总结：kill all

解压杀11x


awb_略.js


js-beautified-1.js


MTCN_Details_pdf.js


sep

总结：miss 2x



解压+双击杀本体10x



awb_略.js


email.js miss

js-beautified-1.js miss


elastic

总结：miss 1x

解压+双击杀本体 10x，剩余4x


双击：
awb_略.js
Malicious Behavior Prevention Alert: Suspicious PowerShell Execution via Windows Scripts


js-beautified-1.js
Malicious Behavior Prevention Alert: Connection to Dynamic DNS Provider by a Signed Binary 略
外联 dorpimikditebtreds.ddns.net


MTCN_Details_pdf.js
Malicious Behavior Prevention Alert: Connection to Dynamic DNS Provider by a Signed Binary 略
外联 dorpimikditebtreds.ddns.net


email.js miss

附注：elastic的测试系统为英文版，且系统内安装Office2010，双击email.js出现如下界面而非自删

玛姆库特

（EIS+智量）实机，解压EIS 8x，剩下双击。live grid阻止2x，EIS阻止2x脚本地址，智量杀1x脚本，剩下email.js双击消失。

zhuzhu009

360+火绒
火绒8/14
火绒双击拦截一个
剩下miss


360
9/14


360双击main.exe
拦截开机启动项
main.exe隐藏自身



双击4个js
清除2个 拦截一个网站 其中一个js隐藏

123456aaaafsdeg

877906025Z

江民，双击意义不大，略
样本数量总数为：14
已删除文件数量为：5
已清除文件数量为：0
总检出数量为：5
未检出数量为：9
检出率为：35.71%

莒县小哥

MD零容忍模式杀11枚

jijianan2007

SEP