【开放测试】卡饭病毒样本包 20241013 第171期

zhuzhu009

警告：

       本主题帖中所包含的任何文件和附件都有危害你的计算机的可能，并且没有安全软件可以100%防护这些样本。样本仅供测试、交流和学习，禁止用于任何非法用途。
       请在虚拟机中测试样本。对于下载样本、附件以及点击链接所导致的任何数据泄露、破坏，以及所产生的任何损失，本人和卡饭论坛不负任何责任。

样本下载：https://x.ws59.cn/f/fb96r3kk4a2        https://pan.huang1111.cn/s/Lx1ozu6      https://wwzq.lanzouq.com/iwvaA2cfhkeb
https://homeserver.iepose.cn/dow ... 9FD7C1E0835FE17.zip

sha256: 72442B33806DEF035428EBA8043CEF6B7DD25620443F1834D9FD7C1E0835FE17
压缩包密码：infected

如果样本中包含.ps1文件(Powershell脚本)，则需要手动打开cmd.exe输入以下指令允许运行ps1脚本:

Powershell.exe Set-ExecutionPolicy Bypass

奖励/惩罚规则：
正式测试期间的奖励规则：
1、参加完整扫描测试，+5经验
2、上传相关截图（不再需要提供扫描日志），+5经验。
3、上传双击结果（必须带图或日志），+10~30经验。
4、测试多款安全软件的，奖励累加。
5、每期样本包会在正式测试期间评选最佳测试贴，只评选1贴，加80经验。
      被评选次数达到5次可PM我领取1魅力奖励。长期测试样本，也有魅力奖励。
惩罚规则：
1、占楼后2小时内未能给出测试结果的，视为灌水，按照论坛规定处理
2、其他违规行为，按照论坛相关规定处理。

注意：扫描/双击日志请以附件形式（压缩包）或图片上传，也可以 以1号字体放在回复中。         
          对于日志过长以至于影响会员刷帖/回帖体验的回复，管理人员有权进行屏蔽处理。

当前测试阶段：开放测试

Fadouse

MDE + DI + KART 19/20
MDE 16x/DI 1x(.rtf)/KART 2x PDM
静态 Miss 3x


双击da6cd7e37214c30e69a8b2817e1f361cff10bec40645785af3f01593debeac64.msi -> KART

双击 42dbdf691f31f25bc8da8504d82bfeb4508d30c982ff3c56c89e98d6692a8a77.vbs -> KART

microsoft 365 双击 33c790e2db3f22fbd80c43a82837b5fb7a0f4a317b25dbab1e984baf95fa82bc.xls -> 无行为

Loyisa

SEP扫描 17/20x
扫描完剩余

1. 42dbdf691f31f25bc8da8504d82bfeb4508d30c982ff3c56c89e98d6692a8a77.vbs
   
2. b6cd7b38f6034ad44040ba397a8ecc7d3aed47cfa9a1a29a0f63e3e1961d6378.exe
   
3. da6cd7e37214c30e69a8b2817e1f361cff10bec40645785af3f01593debeac64.msi

复制代码

双击1x
共计18/20x

---

42dbdf691f31f25bc8da8504d82bfeb4508d30c982ff3c56c89e98d6692a8a77.vbs
SONAR kill衍生物


b6cd7b38f6034ad44040ba397a8ecc7d3aed47cfa9a1a29a0f63e3e1961d6378.exe
运行完自己退了 没发现衍生物

da6cd7e37214c30e69a8b2817e1f361cff10bec40645785af3f01593debeac64.msi
安装失败 怎么还要我自己输入密码的

---

超级海王啊！↓

Raven95676

elastic、mdb、avira、pyas启动！

拉pyas过来娱乐一下（

Elastic

总结：miss 2x

解压kill 14x 剩余6x


42db略.vbs


2024-10-13略.exe


b6cd7略.exe 运行，自退，无告警 miss

da6cd7略.msi edr阻断外联
Unusual Network Activity from a Windows System Binary




7b33d略.rtf




33c7略.xls
打开后无反应 miss


Microsoft Defender for Business

总结：miss 2.5x

解压+扫描kill 15x

b6cd7略.exe


2024-10-13略.exe miss
加密完了有反应了，不算检测到



7b33d略.rtf


da6cd7略.msi 0.5miss
有事件生成，不清楚是否阻断，算0.5miss


33c7略.xls
打开后无反应 miss

Avira

总结：miss 1x

解压+扫描kill 18x


双击kill 1x


da6cd7略.msi miss

日志：


Pyas

总结：miss 16x

扫描kill 4x

扫描kill 4x

FD丶纸鸢

安天智甲 扫描kill 13x日志见附件

余下7x如图

第一个双击后自动退出，安天无反应
第二个第一次双击后运行一段时间自动退出，安天无反应，第二次双击后进程持续挂起一段时间后退出
第三个运行一段时间后弹出cmd框后退出
第四个双击后实体机WD阻止vmnat.exe外联C2 185.215.113.37（没绷住），安天无反应

file(2).exe同上，file.exe外联108.160.172.204:443，wd未阻止，推测三个为同类样本，安天仍然无反应
第五个msi双击后安装报错，安装过程中提示设置密码，设置后报错退出，msiexec.exe仍在后台驻留。安天无反应

心醉咖啡

360

ytysh

360 Total Security + Kunpeng
Miss 4x

莒县小哥

MD零容忍模式杀18枚

Luna_ovo

本人技术有限，如有错误请支持！
(累死我了，我真服了，我这一上传图片就被卡饭的cdn拉黑几分钟)

小a高级版的扫描：
检测发生 18 / 20




drweb（这个是认证测的）:
最新病毒库


解压过程中杀4个

再次扫描，发现0个威胁

扫描 4/20


=======================
双击：
0d7...双击被蜘蛛行为检测，卒



39e...双击无反应，创建进程后自动退出，可能是虚拟机检测



42d...vbs脚本双击后跳转多个进程最终打开隐藏powershell和cmd(没截到)，最后自动退出



819...打开后drweb拦截联网，自动退出



2024...
drweb先阻止修改用户文件？被drweb组织

然后又隐藏执行powershell被powershell阻止



然后drweb行为检测杀


981...
尝试联网被蜘蛛阻止

混淆的代码阻止


又来

病毒没动静了，但是在后台常驻，杀掉进程测下一个


497...打开后瞬间退出，可能是虚拟机检测


ad1...阻止powershell执行，然后被行为杀，b2f...图右下角


b2f蜘蛛阻止联网，自动退出


b6c...设置启动项和执行powershell被阻止，然后退出



e90...实时防护没什么说的


da6被蜘蛛阻止了一个powershell后竟然让我输入密码？！



df2...还是那几个



file（2），隐藏执行powershell，先阻止powershell，然后被行为





file，防火墙阻止联网，然后自动退出



===========================
测完后检查一下系统

进程没有问题

但是右下角drweb每个一会就阻止个powershell

顺腾摸瓜找到父进程

是个服务，按照他的pid去找服务



可以发现每过两分钟就自动执行一次vbs



ATOOL也显示恶意文件和恶意行为

在同目录还找到了这些，有被阻止的powershell脚本


这就不好评价了，你们觉得呢？

不知道这是剑

火绒 15x