【开放测试】卡饭病毒样本包 20241116 第190期

zhuzhu009

警告：

       本主题帖中所包含的任何文件和附件都有危害你的计算机的可能，并且没有安全软件可以100%防护这些样本。样本仅供测试、交流和学习，禁止用于任何非法用途。
       请在虚拟机中测试样本。对于下载样本、附件以及点击链接所导致的任何数据泄露、破坏，以及所产生的任何损失，本人和卡饭论坛不负任何责任。

样本下载: https://wwzq.lanzouq.com/i5KjZ2f7g3ti https://pan.huang1111.cn/s/vV8LgiE https://x.ws28.cn/f/fkyexzgw929
https://homeserver.iepose.cn/dow ... 5DAEBA3BC3D21EB.zip





sha256:  72CC0EF73FB4CB50A5A1D593E9EC6691BA13C033B8D23EA2D5DAEBA3BC3D21EB


压缩包密码：infected

如果样本中包含.ps1文件(Powershell脚本)，则需要手动打开cmd.exe输入以下指令允许运行ps1脚本:

Powershell.exe Set-ExecutionPolicy Bypass

奖励/惩罚规则：
正式测试期间的奖励规则：
1、参加完整扫描测试，+5经验
2、上传相关截图（不再需要提供扫描日志），+5经验。
3、上传双击结果（必须带图或日志），+10~30经验。
4、测试多款安全软件的，奖励累加。

惩罚规则：
1、占楼后2小时内未能给出测试结果的，视为灌水，按照论坛规定处理
2、其他违规行为，按照论坛相关规定处理。

注意：扫描/双击日志请以附件形式（压缩包）或图片上传，也可以 以1号字体放在回复中。         
          对于日志过长以至于影响会员刷帖/回帖体验的回复，管理人员有权进行屏蔽处理。
当前测试阶段：开放测试

lovehhsw

卡巴右键两次26x，miss5x：



剩余实体机双击：

86ef5515705176b9da5f77115ec92dfcb2f4cad2fa39dc609189b3462ce7e39c.ps1


8745092d873a1d66ebc31d1e107b207baaf043a98468678c0514505439daf4c9.ps1


376af3d6ec15faf350bbb7a3a5f17933bf11c895f6b7119cf3eefc1ccd33cbe7.cmd
powershell外联，卡巴miss，没反应


rgty50_64.msi


yghj50_64.msi

1. 事件: 对象的备份副本已创建
   
2. 应用程序: Windows® installer
   
3. 用户: IZYKQTB0JL6KIGZ\Administrator
   
4. 用户类型: 发起者
   
5. 组件: 行为检测
   
6. 结果说明: 已创建备份副本
   
7. 类型: 木马
   
8. 名称: PDM:Trojan.Win32.Generic
   
9. 威胁级别: 高
   
10. 对象类型: 进程
    
11. 对象路径: C:\Users\Administrator\Downloads\infected20241116
    
12. 对象名称: yghj50_64.msi
    
13. SHA256: 5062907B7EB63FF7C7D4D91457E02B195DC722C6EA3C7F6350D3BC1F1D67F07B
    
14. MD5: 7A94A79309E124F38A6147DEC2B06495

复制代码

卡巴总计miss1x：
376af3d6ec15faf350bbb7a3a5f17933bf11c895f6b7119cf3eefc1ccd33cbe7.cmd

智量扫描16x：


卡巴漏的双击kill：



腾讯电脑管家扫描18x：

360扫描23x：

御坂14857号

360扫描检出18x

双击测试：
5c7f1d6ac7671a1b1764dba808cf52f5c5c48ce1cbd0f1c16d8f6cf0afe5d3c8.hta：

86ef5515705176b9da5f77115ec92dfcb2f4cad2fa39dc609189b3462ce7e39c.ps1：

376af3d6ec15faf350bbb7a3a5f17933bf11c895f6b7119cf3eefc1ccd33cbe7.cmd：

962b95012dcccd8bf8fbd2c14d36e5c6e3bf9ac81eff4d6fa8bc8dbeb33eaf3e.js:

a56a8e48af48214867d72d01dd02be3815e71eaf9e10c07722143bc422451876.js：

CMD-OUTPUT.png.lnk：

ec97b59bc0398eb50eb842046e017755dbbc8d6764a6c26db85cd90853760669.hta:

rgty50_64.msi、yghj50_64.msi：报风险程序阻止运行
0e3c35180eecfc7e4c3ce59590b0ef6e7444a95a6791aa657f5f02462786c325.xls：未测试
共检出27/28x

123456aaaafsdeg

360

1. ===========================================================
   
2. 
   
3. 
   
4. 删除个数：18
   
5. 清除个数：0
   
6. 剩余个数：10
   
7. 
   
8. ===========================================================
   
9. 
   
10. C:/Users/Admin/Desktop/测试\0e3c35180eecfc7e4c3ce59590b0ef6e7444a95a6791aa657f5f02462786c325.xls -- 未检出
    
11. C:/Users/Admin/Desktop/测试\376af3d6ec15faf350bbb7a3a5f17933bf11c895f6b7119cf3eefc1ccd33cbe7.cmd -- 未检出
    
12. C:/Users/Admin/Desktop/测试\5c7f1d6ac7671a1b1764dba808cf52f5c5c48ce1cbd0f1c16d8f6cf0afe5d3c8.hta -- 未检出
    
13. C:/Users/Admin/Desktop/测试\86ef5515705176b9da5f77115ec92dfcb2f4cad2fa39dc609189b3462ce7e39c.ps1 -- 未检出
    
14. C:/Users/Admin/Desktop/测试\962b95012dcccd8bf8fbd2c14d36e5c6e3bf9ac81eff4d6fa8bc8dbeb33eaf3e.js -- 未检出
    
15. C:/Users/Admin/Desktop/测试\a56a8e48af48214867d72d01dd02be3815e71eaf9e10c07722143bc422451876.js -- 未检出
    
16. C:/Users/Admin/Desktop/测试\CMD-OUTPUT.png.lnk -- 未检出
    
17. C:/Users/Admin/Desktop/测试\ec97b59bc0398eb50eb842046e017755dbbc8d6764a6c26db85cd90853760669.hta -- 未检出
    
18. C:/Users/Admin/Desktop/测试\rgty50_64.msi -- 未检出
    
19. C:/Users/Admin/Desktop/测试\yghj50_64.msi -- 未检出

复制代码

Loyisa

MD DUI拉满
安全智能版本: 1.421.318.0
扫描 21X 剩余7x


双击3x
共计24x

5c7f1d6ac7671a1b1764dba808cf52f5c5c48ce1cbd0f1c16d8f6cf0afe5d3c8.hta
双击后未发现外联


86ef5515705176b9da5f77115ec92dfcb2f4cad2fa39dc609189b3462ce7e39c.ps1
ASR block


376af3d6ec15faf350bbb7a3a5f17933bf11c895f6b7119cf3eefc1ccd33cbe7.cmd
MD一拳干爆衍生物


8745092d873a1d66ebc31d1e107b207baaf043a98468678c0514505439daf4c9.ps1
ASR Block


ec97b59bc0398eb50eb842046e017755dbbc8d6764a6c26db85cd90853760669.hta
无外联
rgty50_64.msi/yghj50_64.msi
检测出pua了 但是为时已晚

Raven95676

elastic

总结：miss 1x

已进行合并同类项（

yghj50_64.msi miss
注：复测中无法打开

---

0e3c35180eecfc7e4c3ce59590b0ef6e7444a95a6791aa657f5f02462786c325.xls


CMD-OUTPUT.png.lnk


5c7f1d6ac7671a1b1764dba808cf52f5c5c48ce1cbd0f1c16d8f6cf0afe5d3c8.hta
ec97b59bc0398eb50eb842046e017755dbbc8d6764a6c26db85cd90853760669.hta


86ef5515705176b9da5f77115ec92dfcb2f4cad2fa39dc609189b3462ce7e39c.ps1
8745092d873a1d66ebc31d1e107b207baaf043a98468678c0514505439daf4c9.ps1


962b95012dcccd8bf8fbd2c14d36e5c6e3bf9ac81eff4d6fa8bc8dbeb33eaf3e.js
a56a8e48af48214867d72d01dd02be3815e71eaf9e10c07722143bc422451876.js


376af3d6ec15faf350bbb7a3a5f17933bf11c895f6b7119cf3eefc1ccd33cbe7.cmd


其余均为malware alert

Fadouse

S1 + DI 27/27(排除双击自退的样本)
静态Kill 21x


miss 7x


双击 86ef5515705176b9da5f77115ec92dfcb2f4cad2fa39dc609189b3462ce7e39c.ps1 -> DI Kill

双击 376af3d6ec15faf350bbb7a3a5f17933bf11c895f6b7119cf3eefc1ccd33cbe7.cmd -> S1 Kill (Lumma Stealer)


双击 962b95012dcccd8bf8fbd2c14d36e5c6e3bf9ac81eff4d6fa8bc8dbeb33eaf3e.js -> DI Kill

双击 8745092d873a1d66ebc31d1e107b207baaf043a98468678c0514505439daf4c9.ps1 -> DI Kill

双击 a56a8e48af48214867d72d01dd02be3815e71eaf9e10c07722143bc422451876.js -> DI Kill


双击 rgty50_64.msi -> S1 Kill (SilverFox)


双击 yghj50_64.msi -> 报错自退

453125415

火绒6高启发 kill 25x
日志
--------------
【1】2024-11-16 11:22:25,病毒防护,病毒查杀,自定义扫描, 发现25个风险项目

病毒库时间：2024-11-15 23:29
开始时间：2024-11-16 11:21
总计用时：00:00:14
扫描对象：137
扫描文件：26
发现风险：25
已处理风险：25
病毒详情：
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\376af3d6ec15faf350bbb7a3a5f17933bf11c895f6b7119cf3eefc1ccd33cbe7.cmd, 病毒名：ADV:TrojanDownloader/PS.NetLoader!meteor, 病毒ID：3d2d322b63eb89fd, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\4b40ee0f6bfdab8c8e216ad2a52228f2968d4391f5de5dd788445129949c38a1.exe, 病毒名：Trojan/Emotet.dv, 病毒ID：8dd83dd756b2a0f8, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\5c7f1d6ac7671a1b1764dba808cf52f5c5c48ce1cbd0f1c16d8f6cf0afe5d3c8.hta, 病毒名：ADV:Trojan/JS.Generic!meteor, 病毒ID：af8b60eaadc7cf49, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\108dc6a35258471a280a4a714694a4f9dfb1590434ff92f80cff28ee54d68da2.exe, 病毒名：ADV:VirTool/Obfuscator!meteor, 病毒ID：b6b4d4a297409986, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\70a7fe185abdb61705138746efe719db1c4902ba447c4be00f7bbd978c7475fa.exe, 病毒名：ADV:VirTool/Obfuscator!meteor, 病毒ID：b6b4d4a297409986, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\86ef5515705176b9da5f77115ec92dfcb2f4cad2fa39dc609189b3462ce7e39c.ps1, 病毒名：ADV:TrojanDownloader/PS.NetLoader!meteor, 病毒ID：3d2d322b63eb89fd, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\8745092d873a1d66ebc31d1e107b207baaf043a98468678c0514505439daf4c9.ps1, 病毒名：ADV:TrojanDownloader/PS.NetLoader!meteor, 病毒ID：3d2d322b63eb89fd, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\7923500b376d6b5025212ae1633f7a13262e38ae99c0e0d3b1fa45b4f0a66dfe.exe, 病毒名：ADV:VirTool/Obfuscator!meteor, 病毒ID：b6b4d4a297409986, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\8e23b3582853710875fb30abdbdb639371f3263b7b573f4fd594d35d9b8604d8.exe, 病毒名：ADV:VirTool/Obfuscator!meteor, 病毒ID：b6b4d4a297409986, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\31fa84c2fd1626a571dd7895fd2e149d7eb003a7bc9037615cb71f07571edb0f.exe, 病毒名：Trojan/Avkiller.v, 病毒ID：c3ebd1a90ba961b4, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\962b95012dcccd8bf8fbd2c14d36e5c6e3bf9ac81eff4d6fa8bc8dbeb33eaf3e.js, 病毒名：SVM:TrojanDownloader/JS.Nemucod.p, 病毒ID：7e19f7fce5c84faa, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\785711b6a961825ed0b534b88ba2826e2309fa0d35be82e249907dbc2fc623c7.exe, 病毒名：Trojan/Avkiller.v, 病毒ID：c3ebd1a90ba961b4, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\2cb8109695addeeff4fbd5fb4905544d80d345c2eb26d406ec7da35cd27fcea6.exe, 病毒名：Trojan/Avkiller.v, 病毒ID：c3ebd1a90ba961b4, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\b6d765a5becd81297d4e744bc142391744171fd46e1ad8aa9ae1b4a9a1404d2a.exe >> un471363.exe >> 38556181.exe, 病毒名：Ransom/Stop.g, 病毒ID：f4c847811ed10ed4, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\b6d765a5becd81297d4e744bc142391744171fd46e1ad8aa9ae1b4a9a1404d2a.exe >> un471363.exe >> rk547928.exe, 病毒名：Ransom/Stop.g, 病毒ID：f4c847811ed10ed4, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\b6d765a5becd81297d4e744bc142391744171fd46e1ad8aa9ae1b4a9a1404d2a.exe >> si729945.exe, 病毒名：TrojanSpy/MSIL.Agent.cy, 病毒ID：a60ee71f619d8091, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\a56a8e48af48214867d72d01dd02be3815e71eaf9e10c07722143bc422451876.js, 病毒名：SVM:TrojanDownloader/JS.Nemucod.p, 病毒ID：7e19f7fce5c84faa, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\CMD-OUTPUT.png.lnk, 病毒名：TrojanDownloader/LNK.NetLoader.u, 病毒ID：74eeb462e4fc04d1, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\91de4a08b3eb11061eec9a0423a6b968414a7cc0788523205acf0f5b7704fdae.exe, 病毒名：Trojan/Avkiller.v, 病毒ID：c3ebd1a90ba961b4, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\c92a412016aed1dce46050fc073d08b0ea3157001cbd439788cbd7b13216c1f3.exe, 病毒名：ADV:VirTool/Obfuscator!meteor, 病毒ID：b6b4d4a297409986, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\ec97b59bc0398eb50eb842046e017755dbbc8d6764a6c26db85cd90853760669.hta, 病毒名：ADV:Trojan/JS.Generic!meteor, 病毒ID：af8b60eaadc7cf49, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\b59ec4d90f698cd7a52bdb6c6b4ca018729418800643ba2afe0c25972fdcd3be.exe, 病毒名：TrojanSpy/Stealer.li, 病毒ID：51f7403b5f7b12ab, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\d5c1749976539f8bc24fe0ebd9032a743688266dab0ef4f22ade7562759493bb.exe, 病毒名：ADV:VirTool/Obfuscator!meteor, 病毒ID：b6b4d4a297409986, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\9c6cacfa7f390ef5215e44a4a59009854e78be610520c148531b55ead5743a7e.exe, 病毒名：Trojan/Avkiller.v, 病毒ID：c3ebd1a90ba961b4, 处理结果：已处理，删除文件
风险路径：C:\Users\aoh\Desktop\新建文件夹 (6)\rgty50_64.msi, 病毒名：Trojan/BAT.Starter.dp, 病毒ID：b29eebdac809f836, 处理结果：已处理，删除文件

--------------------

yeahnangua

编辑

Nocria

IKARUS - 15/28

1. [16.11.2024 12:01:42] On-demand scan started: "TemporaryScan"
   
2. [16.11.2024 12:01:42] Found, 0.00s, SigName: "Trojan-Downloader.XLM.Agent", SigId: 4077021, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\0e3c35180eecfc7e4c3ce59590b0ef6e7444a95a6791aa657f5f02462786c325.xls"
   
3. [16.11.2024 12:01:42] Found, 0.01s, SigName: "Trojan-Banker.Emotet", SigId: 3908610, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\4b40ee0f6bfdab8c8e216ad2a52228f2968d4391f5de5dd788445129949c38a1.exe"
   
4. [16.11.2024 12:01:42] Found, 0.01s, SigName: "Trojan.Crypt", SigId: 5275398, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\31fa84c2fd1626a571dd7895fd2e149d7eb003a7bc9037615cb71f07571edb0f.exe"
   
5. [16.11.2024 12:01:42] Found, 0.01s, SigName: "Trojan.Crypt", SigId: 5275398, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\2cb8109695addeeff4fbd5fb4905544d80d345c2eb26d406ec7da35cd27fcea6.exe"
   
6. [16.11.2024 12:01:42] Found, 0.01s, SigName: "Trojan-Downloader.PS.Agent", SigId: 5675367, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\86ef5515705176b9da5f77115ec92dfcb2f4cad2fa39dc609189b3462ce7e39c.ps1"
   
7. [16.11.2024 12:01:42] Found, 0.01s, SigName: "Trojan.Crypt", SigId: 5275398, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\785711b6a961825ed0b534b88ba2826e2309fa0d35be82e249907dbc2fc623c7.exe"
   
8. [16.11.2024 12:01:42] Found, 0.00s, SigName: "Trojan-Downloader.PS.Agent", SigId: 5675367, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\8745092d873a1d66ebc31d1e107b207baaf043a98468678c0514505439daf4c9.ps1"
   
9. [16.11.2024 12:01:42] Found, 0.02s, SigName: "Trojan.Crypt", SigId: 5275398, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\91de4a08b3eb11061eec9a0423a6b968414a7cc0788523205acf0f5b7704fdae.exe"
   
10. [16.11.2024 12:01:42] Found, 0.02s, SigName: "GT.JS.StrelaStealer", SigId: 517182393, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\962b95012dcccd8bf8fbd2c14d36e5c6e3bf9ac81eff4d6fa8bc8dbeb33eaf3e.js"
    
11. [16.11.2024 12:01:42] Found, 0.02s, SigName: "Trojan.Crypt", SigId: 5275398, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\9c6cacfa7f390ef5215e44a4a59009854e78be610520c148531b55ead5743a7e.exe"
    
12. [16.11.2024 12:01:42] Found, 0.02s, SigName: "GT.JS.StrelaStealer", SigId: 517182400, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\a56a8e48af48214867d72d01dd02be3815e71eaf9e10c07722143bc422451876.js"
    
13. [16.11.2024 12:01:42] Found, 0.14s, SigName: "Trojan-Spy.MSIL.Redline", SigId: 5002524, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\b6d765a5becd81297d4e744bc142391744171fd46e1ad8aa9ae1b4a9a1404d2a.exe"
    
14. [16.11.2024 12:01:42] Found, 0.25s, SigName: "Trojan.PS.Agent", SigId: 5622892, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\5c7f1d6ac7671a1b1764dba808cf52f5c5c48ce1cbd0f1c16d8f6cf0afe5d3c8.hta"
    
15. [16.11.2024 12:01:42] Found, 0.15s, SigName: "Trojan.PS.Agent", SigId: 5622892, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\ec97b59bc0398eb50eb842046e017755dbbc8d6764a6c26db85cd90853760669.hta"
    
16. [16.11.2024 12:01:42] Found, 0.46s, SigName: "Trojan.Crypt", SigId: 5294356, Type: "VIRUS", File: "C:\Users\promi\Downloads\infected20241116\8e23b3582853710875fb30abdbdb639371f3263b7b573f4fd594d35d9b8604d8.exe"
    
17. [16.11.2024 12:01:42] On-demand scan FINISHED: "TemporaryScan"
    
18. [16.11.2024 12:01:42] ----------------------------------------------------
    
19. [16.11.2024 12:01:42] Directories scanned: 1
    
20. [16.11.2024 12:01:42] Files scanned: 52
    
21. [16.11.2024 12:01:42] Virus found: 15
    
22. [16.11.2024 12:01:42] ----------------------------------------------------

复制代码

____________________________

EMSISOFT - 21/28