【开放测试】卡饭病毒样本包 20250206 第250期

zhuzhu009

警告：

       本主题帖中所包含的任何文件和附件都有危害你的计算机的可能，并且没有安全软件可以100%防护这些样本。样本仅供测试、交流和学习，禁止用于任何非法用途。
       请注意，所以样本均为真实威胁，具有严重危害性。请不要在没有任何安全措施保存，打开或执行这些样本。请在虚拟机中测试样本。对于下载样本、附件以及点击链接所导致的任何数据泄露、破坏，以及所产生的任何损失，本人和卡饭论坛不负任何责任。




样本下载: https://pan.zhuzhu009.top/s/p2CN  https://wwzq.lanzouq.com/iJzyx2mwm7ub

文件名称: 20250206.zip


SHA256: 0A6759FA50C16905CFA1D16E89C4394751962DE7A2B1CE571A9941FD740DE201


压缩包密码：infected

如果样本中包含.ps1文件(Powershell脚本)，则需要手动打开cmd.exe输入以下指令允许运行ps1脚本:

Powershell.exe Set-ExecutionPolicy Bypass



注意：扫描/双击日志请以附件形式（压缩包）或图片上传，也可以 以1号字体放在回复中。         
          对于日志过长以至于影响会员刷帖/回帖体验的回复，管理人员有权进行屏蔽处理。

当前测试阶段：开放测试

aikafans

eis miss 1

Fadouse

DI + S1 Kill All

解压 DI 49x + SI 45x (有重复)
DI日志:

Threat Type	Details	File Type
PUA - Generic PUA	E:\Code\Virus\20250206\abe93daba48054bb205b1d93b2c63886ce3696453f2c43e89f3508e3e9cb515e.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\a7ff3bcb0fd377e15f3f6ba5b3f24ce67079718c9418a58ae7dd14d790be5653.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\f9778ecd7eb6b09e443fd83ab3616f8cf26a61de6f6334a9b7bda73515a63e4a.exe	PE
Malware - Trojan	E:\Code\Virus\20250206\dd6f942761571832b1fb1175983c8dab4c8a15f90654baba635e9b739a8e8454.exe	PE
Malware - Trojan	E:\Code\Virus\20250206\8051ece7900ddc446f774db64b71f9f3e4306237cd7c78df3cf02e5a79e544b7.exe	PE
Malware - Trojan	E:\Code\Virus\20250206\659f55fe8c0a69b0f6c6440a777b409af34a8206613f7ed31b2b26cd821da339.exe	PE
Malware - Trojan	E:\Code\Virus\20250206\3ed6391d2416f3ef8e1be5ba9da91b6870ab32b865e49b0cfeb3444028530cab.exe	PE
Malware - Backdoor	E:\Code\Virus\20250206\f7b61d74ed091d52a93af97e15333b59cec299e026647c58830ccf0baf3d9c91.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\f732f0392878698cc5d43a9d8129c3b16eaa6cc4b50a79b548a32dde7a0456bc.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\f6093a0d468e3cd2df9b2563336ccbd3b5783e8c06c52e296770fc31fe5257f4.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\2ad37bc26f5a184e15ff4296c556b9c506919403e2a8fb2ba44f467e3c63d9ba.exe	PE
Malware - Backdoor	E:\Code\Virus\20250206\ece85809d230590363da74db6749fccdcc80dbd3f47359e478db0c4e0d6e3010.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\e9a1f5e4de3dfdf6cbd66863a6fa6a638cce8fa9555991756820b5af48682c79.exe	PE
Malware - Dropper	E:\Code\Virus\20250206\e211c49ddf8d6e76094e69624ac9339a07b3c210af780c125ff924833d227969.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\dc2a6daa79ab9f53ed4e4f300ca60197d7a2e52cddb6a721ddac5a6c89eb2781.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\db1ac4c87efc64076e9cf93ec1581f73feea43ce6fdb7113101cf287a5968e80.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\d1492c1b794e9e2825ab8c8dc030b73b18abe9b0c56a563edda6c9cb82921dfd.exe	PE
PUA - Generic PUA	E:\Code\Virus\20250206\19478a15efa45981ccec619c3ebe95f31d3428e42f852d0165c801bad61ed239.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\cb628a93ce3d454a17ac6653105550a7bd4af78195293640d270977ddd6a855d.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\c76072f42ba97861b01655026250c0920a3856a191144601e061318346e75e1b.exe	PE
PUA - Downloader	E:\Code\Virus\20250206\c0248e47689da35393fae3dfefbf7256caeafe4f79a4e3bb6683cd5315cb9ea4.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\bcacf603de67f5c362796fa4f186755945251462c51febb8b335a752044abfce.exe	PE
Malware - Backdoor	E:\Code\Virus\20250206\bb5414b3b9d636e081ef58e16f74b041a3eb30ec5eb4a4235fe46972eba0c519.exe	PE
Malware - Trojan	E:\Code\Virus\20250206\0da059f9da29bbfeb0f5fe232e2dac13d1e2a3174e327d2cbb540a50eca72aed.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\bad55ab8c4ce39ff171bdbc3c86987d0b3b118aacf2ffcc38af811c739c64716.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\b1d51bc9c016f36486682366f537633a12b95e16e68d7fc184f7a9bf9a48a811.exe	PE
Malware - Backdoor	E:\Code\Virus\20250206\994854c28e40e16874b726f21d183fa9209796321eff16fce8f638a7715d4c01.exe	PE
Malware - Dropper	E:\Code\Virus\20250206\96a5c614e3d6ca0b4e9d97eac352937a626aad34b59ffa2d0fd6dfc524851a58.xls	Office
Malware - Spyware	E:\Code\Virus\20250206\92f6167d4a5a568418c7439917b262922745f536b091f9b6d059ca7b4475d6cd.exe	PE
Malware - Dropper	E:\Code\Virus\20250206\91d3b2493d058477ec9b0900d053977863ba26843fbfab5ea22a3607c230c9d1.exe	PE
Malware - Trojan	E:\Code\Virus\20250206\8b903abd92011f515abe01bde91dbf27d2f8037e7712be038bf7bdad420b5e6e.exe	PE
Malware - Trojan	E:\Code\Virus\20250206\8a5c551c7701b750cc81d5da65960cf978239fdad4ad170600bfeaf48a590a20.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\7b22146eee5a371ce9239829ddb6d6d5f6166e93640a15eeebaf1e54ac1ce5d3.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\78320f7a37d22d4c8c4c6be7c24e8cc3ae65775fdf5e4727fd2d72f5235c11bd.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\76a9a68e8da599c81f44d2a43fb4fe5e5e4d2e6c5881ccf775ecd665c16939d8.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\64b9f04e500e377972f23c923e678d2d3ec4aecc42d0634de4e09570b1d58d35.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\5e95fb52da2144a06a66a593a6f12877108ebcdeb69f8f60ad010831d4fce1eb.exe	PE
Malware - Trojan	E:\Code\Virus\20250206\5b72ed928f8a9e98082f9d22d1966a0bfea8222c51041311a6ab5b1339c8f95c.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\5b40169c958b75d6080cc8e7fabcf81ac3d87ea0a3254d6ad2c95c158fa91aa2.exe	PE
Malware - Ransomware	E:\Code\Virus\20250206\525f2589884ae16090ab53462f1cced21dc75af8c137b26b5652c6e7085a5d7b.exe	PE
Malware - Backdoor	E:\Code\Virus\20250206\5021d9ce50b55cd91d7b54f65618aefb5e1c8163910f3e24a05ec3c3febb6d55.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\2434aa78b46a3afc98fa6e888c3eb56278ba52b0ff800e7e875af9c2e7f9011a.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\3cc81a067f9cc55dfa9c727e0d75b775d6f920fe245cbdf134fe9a1933a83006.exe	PE
Malware - Trojan	E:\Code\Virus\20250206\31dd67c25cb99830d6df7e63abee058598eed026076acd4a659fed12fd8647ef.exe	PE
Malware - Backdoor	E:\Code\Virus\20250206\2ce2b5ae44364fe9c1f5b46600d3baeffb769dea1dc9b25fcd5a9ab747f417e6.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\1e12346e4000bfaebac977089464afeb82b3729a90bb6ffd66dde49b2da297e2.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\142d4fe66ef8acb376f52ae33ec869d8782a4e63f9c92a6a20011dc9cd8f215f.exe	PE
Malware - Trojan	E:\Code\Virus\20250206\0015982786a716d0947095950df915cb8c7c4ef7fa7e48fc3ad22fdca6afeed7.exe	PE
Malware - Spyware	E:\Code\Virus\20250206\06f5012aaf05a5d9aefec7a060851cf3d7ddce0220cc09b30cd87d10d69ba554.exe	PE

S1日志:

静态miss 2x




双击测试/行为分析

858361d80e3506a51c3d5e071358a675a6b4baa5d17b7818f38012fd79054d9d.js
GPT o3 mini high给出的分析

总结

• 执行流程：
  
  
  • 初始化 WSH 对象并确保临时目录存在
  • 下载远程脚本文件（HTTP 请求）
  • 将脚本保存到本地
  • 通过 PowerShell 命令执行下载的脚本
  • 出现错误则记录日志并退出
    
• 恶意意图：
  
  
  • 隐藏真实内容和行为（使用混淆）
  • 动态下载并执行外部代码（可能为进一步感染或控制目标系统）
  • 符合恶意投递器（Dropper）的行为特征
    

因此，可以确认该脚本为恶意代码，主要作为一个下载器/投递器，用于载入后续的恶意负载。

双击 DI Kill，符合GPT给出的执行流程




471069591438089c87fa9540e0d50b6a8fc0ca00bffd4ac4a2d7a9b4b96755f7.vbs
GPT o3 mini high给出的分析

总结

• 动态执行流程：
  
  
  • 利用 FileSystemObject 获取临时目录；
  • 在该目录下创建一个名称随机（或伪随机）的批处理文件；
  • 向批处理文件中写入大量混淆的命令，内容包括自重启逻辑、环境设置、变量拼接以及对 PowerShell 路径和参数的构造；
  • 利用 WScript.Shell 执行这个批处理文件，从而触发后续恶意操作。
    
• 恶意性判断与分类：
  
  
  • 代码通过大量混淆手段掩盖真实意图，明显具备反静态分析的特征；
  • 批处理文件内构造并执行调用 PowerShell 的命令，通常用于下载、解密或执行远程恶意 payload；
  • 因此，该脚本为恶意加载器（Dropper/Loader），旨在为进一步攻击或恶意行为铺路。
    

综上所述，这段 VBScript 代码明显具有恶意行为，其目的在于通过混淆构造和执行批处理指令，从而调用 PowerShell 或其他系统工具来载入后续恶意负载。

双击 DI Kill，基本符合GPT给出的执行流程

mmmaoo

江民
样本数量总数为：53
总检出数量为：44
检出率为：83.02%




金山猎鹰安全终端V10
样本数量总数为：53
总检出数量为：39
检出率为：73.58%



绿帽子安全防护
样本数量总数为：53
总检出数量为：52
检出率为：98.11%

PhozeAMTB

WD 扫描 剩2x。

虚拟机第一次双击杀.vbs脚本和衍生物。剩1x。

OrangeCell

F-Secure剩余3x（包含一个在我设备上无法运行的xls文件）

实体机双击
471069591438089c87fa9540e0d50b6a8fc0ca00bffd4ac4a2d7a9b4b96755f7 -> 双击DeepGuard拦截。

1. 2025/2/6 17:29
   
2. 已关闭应用程序：cmd.exe
   
3. 原因： Exploit:W32/PowerShellStager.D!DeepGuard

复制代码

858361d80e3506a51c3d5e071358a675a6b4baa5d17b7818f38012fd79054d9d  -> 双击DeepGuard杀衍生物。

1. 2025/2/6 17:31
   
2. 已阻止应用程序
   
3. 路径： C:\Users\OrangeCell\AppData\Local\Temp
   
4. 文件： x.exe
   
5. 原因： Suspicious:W32/Malware!DeepGuard.n

复制代码

早上起来不刷牙

火绒6自定义miss×4

2.7病毒库更新，kill all

1073328164

SEP解压 kill 40x，右键kill 11x，miss 2x

skycai

毒霸  kill42


上面那位兄弟的火绒没截图，我补一个。