【开放测试】卡饭病毒样本包 20250409 第274期

zhuzhu009

警告：

  本主题帖中包含的文件和附件可能对计算机造成潜在危害。虽然没有任何安全软件能够做到100%防护，但这些样本仅供测试、交流与学习使用，严禁用于非法用途。

  请注意，所有样本均为真实威胁，具有严重的危害性。在没有适当安全防护的情况下，请勿随意保存、打开或执行这些样本。建议在虚拟机环境中进行测试，以确保计算机安全。对于任何下载、打开样本或点击附件链接导致的个人数据泄露、系统破坏或其他损失，发布者及卡饭论坛不承担任何责任。

当前测试阶段：开放测试

---

文件信息：

• 文件名称：20250409.7z
• 样本数量：137
• 压缩包密码：infected
  

---

下载链接：

• https://wwzq.lanzouq.com/iBlkb2t2cn8h   https://pan.moe/s/YgKHk
  

文件信息：

• SHA256(20250409.7z)：038BE3B0EB20A4B324FE6A83902489A4F784AA5650BAF2566C0444DA1B9AF0A6
  

---

注意：扫描/双击日志请以附件形式（压缩包）或图片上传，也可以 以1号字体放在回复中。         

          对于日志过长以至于影响会员刷帖/回帖体验的回复，管理人员有权进行屏蔽处理。

若样本中包含 .ps1（Powershell脚本）文件，请手动打开 cmd.exe，输入以下命令以允许运行脚本：

powershell
Powershell.exe Set-ExecutionPolicy Bypass

zhuzhu009

2345 87/137

shulun743

真小读者

猎鹰安全终端
解压22X



右键+106X



剩余9X，冰盾1X

lajizandian

KES 文件监控剩余3


手动扫描清除1

jerry_2610

BDTS 扫描检测剩余7个，剩余被ATC拦截。Trendmicro 扫描剩余8个，剩余可正常运行

LSPD

eis 扫描 kill 118x miss 19x

双击 ams 1x dbi 1x 杀衍生物 8x  拉黑 2x 报错 2x miss 5x

1. 2025/4/9 14:07:38;文件系统实时防护;文件;C:\Users\msi\AppData\Local\Temp\x.exe;Suspicious Object;已通过删除清除;DESKTOP-RE3BRFV\msi;尝试通过应用程序访问文件时发生事件: C:\Users\msi\AppData\Local\Temp\x.exe (FBBF676F3DFB573514737FBBF96DF28705877315).;FBBF676F3DFB573514737FBBF96DF28705877315;2025/4/9 14:07:21
   
2. 2025/4/9 14:10:10;AMSI 扫描程序;文件;script;PowerShell/Agent.PH 特洛伊木马;已阻止;DESKTOP-RE3BRFV\msi;;F6A9428CC885705CF5F72044BC09A6178299FA63;
   
3. 2025/4/9 14:11:01;文件系统实时防护;文件;C:\Users\msi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\strangulates.vbs;VBS/Runner.OLW 特洛伊木马;已通过删除清除;DESKTOP-RE3BRFV\msi;在通过应用程序创建的新文件上发生了事件: C:\Users\msi\AppData\Local\Charley\strangulates.exe (5F0BD27D170B537053A89849FE66D3F6140B6878).;9A919628E342D43CBB0A5303FD43B6E8865BAA1D;2025/4/9 14:10:51
   
4. 2025/4/9 14:11:02;AMSI 扫描程序;文件;script;MSIL/Spy.Agent.CVT 特洛伊木马 的变量;已阻止;DESKTOP-RE3BRFV\msi;;1C635DFB4CC2EDCEB69C93AD87940665E9B32B4F;
   
5. 2025/4/9 14:11:36;文件系统实时防护;文件;C:\WINDOWS\System32\Tasks\mvIpspqHgzMZVVW;XML/Runner.BB 特洛伊木马;已通过删除清除;DESKTOP-RE3BRFV\msi;在通过应用程序创建的新文件上发生了事件: C:\Windows\System32\svchost.exe (55EFB424933087D755B18468BC574DB4463D9CE6).;E126CB3DD93116AB531EFF49EFF14EC82B0D2589;2025/4/9 14:11:30
   
6. 2025/4/9 14:13:53;文件系统实时防护;文件;C:\Users\msi\AppData\Roaming\mpclient.dll;Suspicious Object;已通过删除清除;DESKTOP-RE3BRFV\msi;在通过应用程序创建的新文件上发生了事件: C:\Users\msi\Downloads\20250409\36f1e16cf0ad8ac3767791f6c70d8e25d9c074ace7fa595fae042d39975cdd4f.exe (724F3D2D9FF37D66D7866BD170BAEA2EF2E21ACA).;A5F43B5033E75D9BDAA62FECDE61D1B7A566C538;2025/4/9 14:13:48
   
7. 2025/4/9 14:14:33;AMSI 扫描程序;文件;script;MSIL/Spy.Agent.CVT 特洛伊木马 的变量;已阻止;DESKTOP-RE3BRFV\msi;;500928BB5F780821C0B5086098C09FBB269D36F2;
   
8. 2025/4/9 14:15:02;文件系统实时防护;文件;C:\WINDOWS\SERVIC~1\LOCALS~1\AppData\Local\Temp\TfsStore\Tfs_DAV\{56D76C29-1A7F-436E-A520-0E2DC7B3FB8E}.bat;BAT/RiskWare.Obfuscated.A 应用程序;已通过删除清除;NT AUTHORITY\LOCAL SERVICE;在通过应用程序修改的文件上发生了事件: C:\Windows\System32\svchost.exe (55EFB424933087D755B18468BC574DB4463D9CE6).;805C80B8286F8735D77408D72348A4DC0D3FBA68;2025/4/9 14:15:00
   
9. 2025/4/9 14:15:52;命令行扫描程序;文件;C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe;BAT/TrojanDownloader.Agent.PBO 特洛伊木马;已通过删除清除;DESKTOP-RE3BRFV\msi;尝试运行以下命令时发生事件： C:\WINDOWS\system32\cmd.exe /c ""C:\Users\msi\Downloads\20250409\3b1a7f4151f967d6574f3c26de9eba9745123e19b61bfb6d5494c2a777da8a21.bat" ";AD654E6829A7949371911D96FB9A3CE70925FD17;
   
10. 2025/4/9 14:15:53;启动扫描程序;文件;c:\users\msi\downloads\20250409\bede680c18e6ef09b3bac2fb070ec50ca806b170273ef0d0a8ba86b8c6ea2642.exe;Suspicious Object;已通过删除清除;;;D7C3E348833ED50BE9C6B3A3CC329DE63F52EF31;2025/4/9 13:56:36
    
11. 2025/4/9 14:16:11;高级内存扫描程序;文件;系统内存 > RegSvcs.exe(8008);MSIL/Spy.Agent.AES 特洛伊木马 的变量;已包含被感染的文件;;;2BB7F65B46A84FDE2FEDBF68AFF042FEC2A0E79B;
    
12. 2025/4/9 14:16:14;深度行为检测扫描程序;文件;C:\Users\msi\Downloads\20250409\71f436bdf5f0f8f0eb662faab8ddb814de68e853406895a86943eb1fe5743011.exe;BH/DBGenerik.3 特洛伊木马;已通过删除清除;DESKTOP-RE3BRFV\msi;;810907D28E86B71E7F889EAB12CECD35EE7F8812;
    
13. 2025/4/9 14:17:20;文件系统实时防护;文件;C:\Users\msi\Downloads\新建文件夹\bede680c18e6ef09b3bac2fb070ec50ca806b170273ef0d0a8ba86b8c6ea2642.exe;Suspicious Object;已通过删除清除;DESKTOP-RE3BRFV\msi;尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (EBFAA732C68F6EA2504CD313A2A3BC081E64DD6B).;D7C3E348833ED50BE9C6B3A3CC329DE63F52EF31;2025/4/9 14:12:52
    
14. 2025/4/9 14:17:24;AMSI 扫描程序;文件;script;MSIL/Spy.Agent.CVT 特洛伊木马 的变量;已阻止;DESKTOP-RE3BRFV\msi;;D7701028D6B8C136F2190D7381E879E3787AE7B7;

复制代码

上报的时候拉黑2x，速度够快

1. 2025/4/9 14:19:56;文件系统实时防护;文件;C:\Users\msi\Downloads\新建文件夹\5ee6f834b8d99f8daec7370bf3543e10be4353bb2d165120fc54526a98f9fe45.exe;Suspicious Object;已通过删除清除;DESKTOP-RE3BRFV\msi;尝试通过应用程序访问文件时发生事件: C:\Windows\System32\dllhost.exe (F401AE9310FAB4781A3E9FA1EAFF26F3D484C6E0).;76D0666875FDC8A1027BD80667B4AE67708803CF;2025/4/9 14:17:12
   
2. 2025/4/9 14:20:07;文件系统实时防护;文件;C:\Users\msi\Downloads\新建文件夹\220d1e32ac49f03b4fbfba8e3f8f7f04a0aec81466f3877d22e0471540ea41bd.msi;Suspicious Object;已通过删除清除;DESKTOP-RE3BRFV\msi;尝试通过应用程序访问文件时发生事件: C:\Program Files\WinRAR\WinRAR.exe (8423CFA3DCB6C5FC79093548C9DE38A5B5C0A894).;8324BBEC627667DEDB3B10942D4BA14899B9031E;2025/4/9 14:12:43

复制代码

1073328164

迈克菲扫描 kill 135x，miss 2x

0107cvb

Dr.web 解压杀103X，剩余34X，右键扫描还是剩余34X

XywCloud

X-Sec Malware Scanner: 132/137