【开放测试】卡饭病毒样本包 20250121 第239期

zhuzhu009

警告：

       本主题帖中所包含的任何文件和附件都有危害你的计算机的可能，并且没有安全软件可以100%防护这些样本。样本仅供测试、交流和学习，禁止用于任何非法用途。
       请注意，所以样本均为真实威胁，具有严重危害性。请不要在没有任何安全措施保存，打开或执行这些样本。请在虚拟机中测试样本。对于下载样本、附件以及点击链接所导致的任何数据泄露、破坏，以及所产生的任何损失，本人和卡饭论坛不负任何责任。



样本下载: https://wwzq.lanzouq.com/iQRa02ljk7te https://pan.huang1111.cn/s/mxXd3F1 https://wormhole.app/82Na7#2w9GitOqO49F6Rjl_wJLAQ https://c.wss.cc/f/g3vdw7n40ad 复制链接到浏览器打开

压缩包SHA256: 4257B1A822199F088A612C1FC50DF45B1B74472012F87BA2FEE461FD3E345D08



压缩包密码：infected

如果样本中包含.ps1文件(Powershell脚本)，则需要手动打开cmd.exe输入以下指令允许运行ps1脚本:

Powershell.exe Set-ExecutionPolicy Bypass



注意：扫描/双击日志请以附件形式（压缩包）或图片上传，也可以 以1号字体放在回复中。         
          对于日志过长以至于影响会员刷帖/回帖体验的回复，管理人员有权进行屏蔽处理。

当前测试阶段：开放测试

呼啸山庄

Microsoft Defender + DrWeb Katana Beta （均为默认设置）

Microsoft Defender
解压后 miss3x

双击测试：
b5b1733f269437803c845cf7344f60657bb64456c06e5cf63c22ee55249844bd.js 运行出错

ee5775b3e3d293257a13bbed6b04a273deb4b92ab32c06b25228c2d581c52523.ps1 运行时间长 均未拦截 未见明显反应

f681328a883ca5f414f92c49dbe20d06d6f65d5f45dac594de9af983908174e1.msi 均未拦截 见AteraAgent服务

1073328164

迈克菲扫描 kill 44x，miss 8x


KVRT kill 48x，miss 4x


剩余样本上传opentip，仅9a5cb8f（后面略）未检出，已反馈

123456aaaafsdeg

很遗憾，均为BD(B)检出

1. C:\Users\Administrator\Desktop\新建文件夹\6b4372f45d14a2f2b5d64d153e31b65436936921bceeeb8b01585f71a8c0e1bf.exe         发现风险： Gen:Variant.Jalapeno.2922 (B) [krnl.xmd]
   
2. C:\Users\Administrator\Desktop\新建文件夹\9eb3ac05340da70c56dc36e8beece9a7c052c945fc3ceade2c622c4defec54b3.xlsx         发现风险： Exploit.CVE-2017-0199.05.Gen (B) [krnl.xmd]
   
3. C:\Users\Administrator\Desktop\新建文件夹\97f3cdbd70d325b46be415aa5c26cf5fdc0b40a2d513aeb2333bb62d197e636c.ps1         发现风险： Trojan.Agent.GNPA (B) [krnl.xmd]
   
4. C:\Users\Administrator\Desktop\新建文件夹\98b55bd80b2ae9923a7cd65c6f72b93c3ca89beba893bdbb6ac3ce6d662a81d5.exe -> (AutoIT Script) -> (unicode)         发现风险： AIT:Trojan.Nymeria.6765 (B) [krnl.xmd]
   
5. C:\Users\Administrator\Desktop\新建文件夹\125ec05200cbfcdfb774f734bcb6c32fbad9008f77feef9988fa9267e35e1ff4.exe         发现风险： Gen:Variant.Jalapeno.19323 (B) [krnl.xmd]
   
6. C:\Users\Administrator\Desktop\新建文件夹\213c34ab1eda72f790c39e5bfca8e3a633bceef35d0990a422f36842d54810cc.exe         发现风险： Gen:Variant.Jalapeno.19106 (B) [krnl.xmd]
   
7. C:\Users\Administrator\Desktop\新建文件夹\578cabfe9302c26e7dc8be3fa6de971205bc0886957da1c8b29619d9c1026610.exe         发现风险： Gen:Variant.Ransom.CryptoJoker.8 (B) [krnl.xmd]
   
8. C:\Users\Administrator\Desktop\新建文件夹\985b84ed4c00325cf67bc3751d2a967b79c7be442dc5a54100444ed91ce34787.js -> (Command)         发现风险： Heur.BZC.UGZ.Boxter.1.28FF7310 (B) [krnl.xmd]
   
9. C:\Users\Administrator\Desktop\新建文件夹\6300dc1f5e7ae0cadd25942716c00ff00d7353e2cd6ea1458517b11d5ef908aa.exe         发现风险： Trojan.GenericKD.75469677 (B) [krnl.xmd]
   
10. C:\Users\Administrator\Desktop\新建文件夹\06868a3523fba77cf349c6d1043d64d67ad56d4afa85f229778b0a5aea30a5ea.exe         发现风险： Gen:Variant.Tedy.697091 (B) [krnl.xmd]
    
11. C:\Users\Administrator\Desktop\新建文件夹\42553efd4d11f721fb221fcf226d4b4aa616e5b0018e246954deb52e0a035cd0.lnk -> (CommandArguments)         发现风险： Heur.BZC.YAX.Nioc.1.29A7963D (B) [krnl.xmd]
    
12. C:\Users\Administrator\Desktop\新建文件夹\385447ed32b3648e735d005f63f72b2526f1381c5e8008f2234bf2e34983b0eb.exe         发现风险： Gen:Variant.Zusy.577081 (B) [krnl.xmd]
    
13. C:\Users\Administrator\Desktop\新建文件夹\4579193e24a217bbc3895569bfacc39da3bdd8ba7e96c93cc82bc1d3de5f5209.exe         发现风险： Trojan.GenericKDZ.108708 (B) [krnl.xmd]
    
14. C:\Users\Administrator\Desktop\新建文件夹\49820247a570eb74ca61baa2aee223bb5ad38d12f38d9f35bca22191bb72a7d8.exe         发现风险： Gen:Variant.Lazy.638922 (B) [krnl.xmd]
    
15. C:\Users\Administrator\Desktop\新建文件夹\932301513f819ae7c5c34ff19b67152e1751c61f3d89e4bd74a850531fac07af.xlsx         发现风险： Exploit.CVE-2017-0199.05.Gen (B) [krnl.xmd]
    
16. C:\Users\Administrator\Desktop\新建文件夹\a57a8a3c3c073632337bb870db56538ef3d3cebd1ada4c3ed2397ea73a6923fb.exe         发现风险： Gen:Variant.Doina.84985 (B) [krnl.xmd]
    
17. C:\Users\Administrator\Desktop\新建文件夹\c4a52ca2bdcbb7f73322a9325fca9b60a7725a5a3e59dbf11c54f461e4b1f7b2.exe         发现风险： Gen:Variant.Jalapeno.19343 (B) [krnl.xmd]
    
18. C:\Users\Administrator\Desktop\新建文件夹\d49b14dc92b8193db3e087bc2ed25f155c195f8f47774da85bf84a45716a473e.exe         发现风险： Gen:Variant.Zusy.576434 (B) [krnl.xmd]
    
19. C:\Users\Administrator\Desktop\新建文件夹\dbb09d03e938bfdf95e1a36d363dc9efacd1ddf57e06219b44c7511109da8e46.hta -> (VBSCRIPT   1)         发现风险： VBS.Heur.Asthma.2.2842DEE3.Gen (B) [krnl.xmd]
    
20. C:\Users\Administrator\Desktop\新建文件夹\de0abb05a3ab58a6d7347837f219f7dbc84814d553eb2e28a393a2ebac90b565.exe         发现风险： Generic.MSIL.PasswordStealerA.7563A721 (B) [krnl.xmd]
    
21. C:\Users\Administrator\Desktop\新建文件夹\e16ed69e1d337d88539ff98cda8d36aabc495db375d68e4f9b86a1843ad8c679.exe         发现风险： Gen:Variant.Genie.8DN.243 (B) [krnl.xmd]
    
22. C:\Users\Administrator\Desktop\新建文件夹\e36a4502ab814a284a91fe9497689ec2eb0eeb70aae50502fa45b178b1ad034d.exe         发现风险： Trojan.Generic.37239154 (B) [krnl.xmd]
    
23. C:\Users\Administrator\Desktop\新建文件夹\e037b1be05a5def69a7692aef31446093ef7c4190215af0a6d742f4724fb1fd3.exe -> (RAR Sfx o) -> jujqdllgg.exe -> (unicode)         发现风险： AIT.Heur.Lisk.1.9EDFA53D.Gen (B) [krnl.xmd]
    
24. C:\Users\Administrator\Desktop\新建文件夹\ee68d7deb7cefdfca66c078d6036d7aa3aa7afcc62b282999034b4a1faed890d.exe         发现风险： Generic.ShellCode.Donut.Marte.4.FBD50004 (B) [krnl.xmd]
    
25. C:\Users\Administrator\Desktop\新建文件夹\effc68899a8894822054617b45d79a9b94f7b756c6ce55d0682c1c7ed7f52e60.exe         发现风险： Trojan.GenericKD.75352848 (B) [krnl.xmd]
    
26. C:\Users\Administrator\Desktop\新建文件夹\f9ee3715793db624c00bf0f71624c483729719d0dce15b4922b52f7422a420fc.exe         发现风险： Trojan.GenericKD.75468988 (B) [krnl.xmd]
    
27. C:\Users\Administrator\Desktop\新建文件夹\f47a577cc8e8a9aba6ded6bd1684d7fca49a83680dc6880c952f15e54ce3a85d.hta -> (VBSCRIPT   1)         发现风险： VBS.Heur.Asthma.2.F00CA4F0.Gen (B) [krnl.xmd]
    
28. C:\Users\Administrator\Desktop\新建文件夹\0bcd5cedea3043e4b3d20de70327ee0e748d1596747a2eb5eb1ccbd5e0274de3.hta -> (VBSCRIPT   1)         发现风险： VBS.Heur.Asthma.2.898FE4AE.Gen (B) [krnl.xmd]
    
29. C:\Users\Administrator\Desktop\新建文件夹\1a8c4a357230c2b388cb9cc9171ab0bcc37a194fdf99e69e6a42d8e1a3d2652b.exe         发现风险： Generic.Remcos.24F7C1A4 (B) [krnl.xmd]
    
30. C:\Users\Administrator\Desktop\新建文件夹\2bc219aa0c642b6064f467a9abe85ccf81dfd0191377fa4453863384f22b5fa5.exe         发现风险： Gen:Variant.Genie.8DN.243 (B) [krnl.xmd]
    
31. C:\Users\Administrator\Desktop\新建文件夹\4c51ade72aa2794149ab89c2db1913bbb7d9ffe35b8b19d0217744356c998744.exe         发现风险： Trojan.GenericKD.75351755 (B) [krnl.xmd]
    
32. C:\Users\Administrator\Desktop\新建文件夹\5d4360996a1f89361dda1818a51dcdd2a551698c6c4d887b5ba67fd86b946e3b.exe         发现风险： Trojan.GenericKD.75407313 (B) [krnl.xmd]

复制代码

Rukia

ESSP 解压  KILL  48 MISS 4

Nocria

Avira - 35/52

Luna_ovo

avast高级版+高灵敏度 scan:
miss 9x

mmmaoo

江民样本数量总数为：52
总检出数量为：31
检出率为：59.62%

Luna_ovo

呼啸山庄 发表于 2025-1-21 17:09
Microsoft Defender + DrWeb Katana Beta （均为默认设置）

Microsoft Defender

刚出beta版的DrWeb Katana就玩上了

OrangeCell

测试