【开放测试】卡饭病毒样本包 20241107 第185期

zhuzhu009

警告：

       本主题帖中所包含的任何文件和附件都有危害你的计算机的可能，并且没有安全软件可以100%防护这些样本。样本仅供测试、交流和学习，禁止用于任何非法用途。
       请在虚拟机中测试样本。对于下载样本、附件以及点击链接所导致的任何数据泄露、破坏，以及所产生的任何损失，本人和卡饭论坛不负任何责任。

样本下载:    https://pan.huang1111.cn/s/QzV3YUm https://t.wss.pet/f/fietv88atrs https://wwzq.lanzouq.com/il5Cb2eh2q5c
https://homeserver.iepose.cn/dow ... 6E959B7A8D020DD.zip






sha256:C82C7903064CCE4D2C4AF576AED98FABD78377D5959693B6E6E959B7A8D020DD



压缩包密码：infected

如果样本中包含.ps1文件(Powershell脚本)，则需要手动打开cmd.exe输入以下指令允许运行ps1脚本:

Powershell.exe Set-ExecutionPolicy Bypass

奖励/惩罚规则：
正式测试期间的奖励规则：
1、参加完整扫描测试，+5经验
2、上传相关截图（不再需要提供扫描日志），+5经验。
3、上传双击结果（必须带图或日志），+10~30经验。
4、测试多款安全软件的，奖励累加。
5、每期样本包会在正式测试期间评选最佳测试贴，只评选1贴，加80经验。
      被评选次数达到5次可PM我领取1魅力奖励。长期测试样本，也有魅力奖励。
惩罚规则：
1、占楼后2小时内未能给出测试结果的，视为灌水，按照论坛规定处理
2、其他违规行为，按照论坛相关规定处理。

注意：扫描/双击日志请以附件形式（压缩包）或图片上传，也可以 以1号字体放在回复中。         
          对于日志过长以至于影响会员刷帖/回帖体验的回复，管理人员有权进行屏蔽处理。
当前测试阶段：开放测试

Komeiji-Reimu

360极速版
扫描18x


剩余双击：
13e113a67681919e5850c172f95174b3284a9f75c5b4a3a7af35956326625cf0  kill

4149dded7fd91b0eca160fff8d1e48d81bd206ef719bd54d1d5f86bc023eb4f9 kill

8159ee66e3e20d8830737e19c544448a76acc01d2ff80e7b16490b30ee022be7  kill

54718ab7a93e2a2a00e355a58dfa1d4700ec08e925703bb72d7a25dd01973e9a  kill

bf7e9cf27cac0d8eb54b86f28bf4c06507bd185bb1e3932de1f5f86166a45778   kill

f2ecabc649b7db40d38a85bbdb8e4491adb613d242bbda3be3677975820d7268  无法运行

总结 kill all




卡巴斯基
扫描kill 22x


过程中还出现了这玩意



双击：
8159ee66e3e20d8830737e19c544448a76acc01d2ff80e7b16490b30ee022be7     kill


f2ecabc649b7db40d38a85bbdb8e4491adb613d242bbda3be3677975820d7268  无法运行

总结：kill all




Avast
扫描 kill 20x


双击：
1fe661a6f1371bfd4b4c2fdc0e835f8ca8bbdc2d25b00b5b89846fc4cdeea2f1   miss。钓鱼快捷方式，未发现外连
13e113a67681919e5850c172f95174b3284a9f75c5b4a3a7af35956326625cf0    安装后kill一个衍生物

bf7e9cf27cac0d8eb54b86f28bf4c06507bd185bb1e3932de1f5f86166a45778    入沙箱之后kill




f2ecabc649b7db40d38a85bbdb8e4491adb613d242bbda3be3677975820d7268  无法运行


总结kill 22 + 1x


BD free
扫描kill 15x


双击：

f2ecabc649b7db40d38a85bbdb8e4491adb613d242bbda3be3677975820d7268    钓鱼快捷方式miss，无外连
13e113a67681919e5850c172f95174b3284a9f75c5b4a3a7af35956326625cf0    正常安装后kill衍生物

70dff1225c6b572e8fedd62f2e0f5c9c8b40f16c3fb9086fa05f3b103627b4cd   kill

89003d7b5b3e53f0c5a907f54fb5041f74823c6221ed7d1881b2df0c1c839878   kill


ba62e9e2f8ace5672fbc814db0b5fbd5a2d0a5d2d8ef55fd359e91ac756b4bbc    kill
bf7e9cf27cac0d8eb54b86f28bf4c06507bd185bb1e3932de1f5f86166a45778    kill
bfcf6c46d64eb87be63df45a15ff9c2a89bd66af62942756ec4dbd45cdfe6ebd  kill
dd21cbc4aa28e774a926f19d1f6a1b384edcd6a902e368e76b953814ecc95963  kill


总结kill 22 + 1x


华为乾坤（默认高误报模式）
扫描 kill 22x



双击：
13e113a67681919e5850c172f95174b3284a9f75c5b4a3a7af35956326625cf0    正常安装后 miss
bec952140d46bb6b997483d3f1aba4228d80a943c1a956568754231ff3e668ee    miss
双击后启动powershell外连 198.18.1.145:https，取消了UAC，疑似远控 RAT


总结 kill 22x



火绒

扫描kill 15x



双击：
3e2b0853a60dbe619179aca70b5c560cc81bb1bff1fb9eb18c92442ffb5f7646   miss，主机卡巴斯基拦截网址访问

1. smithpropertysolutions.com

复制代码

7cba781d569196e89a86f10cee7d69918fe05df1461d1f0ed3426ccb2046002e   运行后自我删除。  miss，外连 147.124.221.201:8080，

疑似Stealer，把桌面，wifi和cookie全偷了，火绒管都不管

1. "cmd.exe" /c chcp 65001 && netsh wlan show networks mode=bssid | findstr "SSID BSSID Signal"

复制代码

13e113a67681919e5850c172f95174b3284a9f75c5b4a3a7af35956326625cf0    正常安装，miss
4149dded7fd91b0eca160fff8d1e48d81bd206ef719bd54d1d5f86bc023eb4f9   无异常，好像是某种衍生物，需要母体配合
54718ab7a93e2a2a00e355a58dfa1d4700ec08e925703bb72d7a25dd01973e9a     Hips


87600ddc2aad3a016b4594fb63f7e9179f85aa07e8dd318438485afb4976cb85   kill  


bf7e9cf27cac0d8eb54b86f28bf4c06507bd185bb1e3932de1f5f86166a45778    Hips，使用cmd疯狂开浏览器，未杀

c589795f1265a4042dc50040c70f65a69cd4bbba569edae1bb1a8b62ca937c41   miss
f2ecabc649b7db40d38a85bbdb8e4491adb613d242bbda3be3677975820d7268  无法运行


高级启发模式  15x 未变
而且似乎是因为被远控了，好像有奇怪的提示（？）

总结 kill 16 + 3？




智量（娱乐）

扫描 17x（最高启发）


双击：
1fe661a6f1371bfd4b4c2fdc0e835f8ca8bbdc2d25b00b5b89846fc4cdeea2f1   miss
3e2b0853a60dbe619179aca70b5c560cc81bb1bff1fb9eb18c92442ffb5f7646   miss
13e113a67681919e5850c172f95174b3284a9f75c5b4a3a7af35956326625cf0    miss
8159ee66e3e20d8830737e19c544448a76acc01d2ff80e7b16490b30ee022be7    崩了
ad5825d42e2c3260a914a3902b324940a7d36a4af8a02c06ad5eddfad577750b   miss
一个mbrwriter

bec952140d46bb6b997483d3f1aba4228d80a943c1a956568754231ff3e668ee   miss
f2ecabc649b7db40d38a85bbdb8e4491adb613d242bbda3be3677975820d7268  无法运行
怀疑智量主防挂了，不过mbrwriter也没破坏成功引导



用冰盾看看 bf7e9cf27cac0d8eb54b86f28bf4c06507bd185bb1e3932de1f5f86166a45778      



MVP：360极速版、卡巴斯基免费版

tony099

火绒  18X

UNknownOoo

X-Sec
扫描：20x

1. Basic Info:
   
2. ---------------------
   
3. Program Version: 3.2.1.0
   
4. Rising Virus Database Version: 25.00.45.05
   
5. X-Sec Heuristic Engine: Enabled
   
6. Rising Antivirus Engine: Enabled
   
7. Rising Cloud Engine: Enabled
   
8. Backup Before Resolve: Enabled
   
9. ---------------------
   
10. Targets:
    
11. ---------------------
    
12. C:\Users\UnknownOoo\Downloads\infected20241107
    
13. ---------------------
    
14. 2024/11/07 13:28:03 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\13e113a67681919e5850c172f95174b3284a9f75c5b4a3a7af35956326625cf0.msi -- [rame-cloud] Trojan.Cobalt!8.C4EF
    
15. 2024/11/07 13:28:03 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\1fe661a6f1371bfd4b4c2fdc0e835f8ca8bbdc2d25b00b5b89846fc4cdeea2f1.lnk -- [xave-heur] Heur:Trojan.PSRunner
    
16. 2024/11/07 13:28:03 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\24a6ec3c24612efc1f4e87b736ea07c4120eafbcd95e8c6e64b83b67349718ce.exe -- [rame-classic] Stealer.Agent!1.DC63
    
17. 2024/11/07 13:28:04 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\1baa1cbce4187a8e9f1d71ed8ff9b400690cd11911817ccebc77edad64acad63.exe -- [rame-cloud] Backdoor.Phpw!8.EB5E
    
18. 2024/11/07 13:28:05 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\3e2b0853a60dbe619179aca70b5c560cc81bb1bff1fb9eb18c92442ffb5f7646.exe -- [rame-cloud] Stealer.Fareit!8.170
    
19. 2024/11/07 13:28:07 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\54718ab7a93e2a2a00e355a58dfa1d4700ec08e925703bb72d7a25dd01973e9a.exe -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.83
    
20. 2024/11/07 13:28:07 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\4e303abd8571b9a4619b7603aafe1878d64e0e8eeabf27bc71168f119e7a0c0a.exe -- [rame-cloud] Ransom.Convagent!8.123A1
    
21. 2024/11/07 13:28:08 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\7cba781d569196e89a86f10cee7d69918fe05df1461d1f0ed3426ccb2046002e.exe -- [rame-tfe] Spyware.WhiteSnake!8.17C86
    
22. 2024/11/07 13:28:09 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\70dff1225c6b572e8fedd62f2e0f5c9c8b40f16c3fb9086fa05f3b103627b4cd.exe -- [rame-cloud] Trojan.Miner!8.EA1
    
23. 2024/11/07 13:28:08 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\8159ee66e3e20d8830737e19c544448a76acc01d2ff80e7b16490b30ee022be7.exe -- [rame-classic] Stealer.Agent!1.DC63
    
24. 2024/11/07 13:28:09 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\87600ddc2aad3a016b4594fb63f7e9179f85aa07e8dd318438485afb4976cb85.exe -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.100
    
25. 2024/11/07 13:28:10 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\89003d7b5b3e53f0c5a907f54fb5041f74823c6221ed7d1881b2df0c1c839878.exe -- [rame-tfe] Backdoor.Phpw!8.EB5E
    
26. 2024/11/07 13:28:11 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\a9f670416324be30fb1ebf3aceb1d7874624461fd3cd7fb094bf8ec917a9720f.exe -- [rame-cloud] Trojan.Convagent!8.12323
    
27. 2024/11/07 13:28:12 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\bec952140d46bb6b997483d3f1aba4228d80a943c1a956568754231ff3e668ee.vbs -- [rame-topis] Trojan.GuLoader/VBS!8.15FAA
    
28. 2024/11/07 13:28:12 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\ba62e9e2f8ace5672fbc814db0b5fbd5a2d0a5d2d8ef55fd359e91ac756b4bbc.exe -- [rame-cloud] Hacktool.BitCoinMiner!8.648E
    
29. 2024/11/07 13:28:13 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\bf7e9cf27cac0d8eb54b86f28bf4c06507bd185bb1e3932de1f5f86166a45778.exe -- [rame-cloud] Trojan.Dnoper!8.10CB3
    
30. 2024/11/07 13:28:14 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\bfcf6c46d64eb87be63df45a15ff9c2a89bd66af62942756ec4dbd45cdfe6ebd.exe -- [rame-cloud] Trojan.Miner!8.EA1
    
31. 2024/11/07 13:28:17 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\d3ea3d360b4e4c6bc1da5adbd8c8bbe689b0541166e2a77dac821517be81de98.exe -- [rame-cloud] Ransom.Crusis!8.5724
    
32. 2024/11/07 13:28:18 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\dd21cbc4aa28e774a926f19d1f6a1b384edcd6a902e368e76b953814ecc95963.exe -- [rame-cloud] Trojan.Convagent!8.12323
    
33. 2024/11/07 13:28:18 Threat Detected: C:\Users\UnknownOoo\Downloads\infected20241107\fe52f83b773b2e800d58b85134b7015c9be3c0a24042d2432e54de1938ff588b.exe -- [rame-classic] Trojan.Injector/Autoit!1.1050A
    

复制代码

断簪

avira 扫描



双击杀一个，剩下：

jijianan2007

F-Secure 解压扫描剩3

King、暮光

华为右键Miss 2x
13e113a67681919e5850c172f95174b3284a9f75c5b4a3a7af35956326625cf0.msi
bec952140d46bb6b997483d3f1aba4228d80a943c1a956568754231ff3e668ee.vbs

剩余文件双击均由360补杀

jijianan2007

MD解压扫描剩2

1073328164

迈克菲清空



KVRT kill 21x

miss以下


发opentip后miss f2ecabc649b7db40d38a85bbdb8e4491adb613d242bbda3be3677975820d7268.exe，已反馈

Raven95676

Elastic

总结：MISS 0.5x

ad5825d42e2c3260a914a3902b324940a7d36a4af8a02c06ad5eddfad577750b.bat miss 0.5x
脚本未能完整运行，桌面文件被成功隐藏，但控制台已生成事件



解压&双击：

13e113a67681919e5850c172f95174b3284a9f75c5b4a3a7af35956326625cf0.msi
衍生物被杀


bec952140d46bb6b997483d3f1aba4228d80a943c1a956568754231ff3e668ee.vbs


1fe661a6f1371bfd4b4c2fdc0e835f8ca8bbdc2d25b00b5b89846fc4cdeea2f1.lnk
双击无反应，经解密发现其命令如下，判定无法运行

1. $b64 = (Select-String -Pattern "aDuck" -Path .\invoice_template.pd

复制代码

其余均为Malware Alert（机学杀）