【开放测试】卡饭病毒样本包 20250814 第280期

显示全部楼层 · 发表于 2025-8-14 18:55:07

本帖最后由 wwwab 于 2025-8-15 09:51 编辑

当前共提供5种下载链接：
下载1: https://pan.huang1111.cn/s/mxlPeh1 密码:53950546
下载2: https://pan.moe/s/QP6LSR 密码:53950546
下载3: https://c.wss.cc/f/hqe3x04x9gl 密码:53950546 有效期:24h
下载4: https://qfile.qq.com/q/fEH6fC94rK 有效期:7日
下载5: https://krakenfiles.com/view/RzmFeb6HSO/file.html

压缩包 SHA-256: 7bce12ffb380ad75f94eadcc8a7991e286910e47b2f09ae052d1bed8fb68a51d

样本数量: 75 (单位: 个)
[对于白加黑等类型样本，每个文件夹统计为1个样本，运行方式见空子文件夹名称]

当前测试阶段：开放测试

注意事项

1. 占楼后2小时内未能给出测试结果的，视为灌水，按照论坛规定处理。
2. 如有其他违规行为，按照论坛相关规定处理。

温馨提示与免责声明

样本仅供学习、研究、测试用途，测试前您应知晓样本可能具有威胁您的计算机安全的风险，下载即代表您应自行承担相应带来的所有风险。

显示全部楼层 · 发表于 2025-8-14 18:56:04

本帖最后由 z80405789 于 2025-8-14 19:09 编辑

云溪杀毒剩

显示全部楼层 · 发表于 2025-8-14 19:00:17

本帖最后由 ajkwbubnap 于 2025-8-14 20:05 编辑

卡巴 kill 72*（无图

WithSecure™ Client Security Premium日志：'
2025年8月14日 19:04:59 - 19:06:31 (UTC+08:00)

扫描类型：恶意软件扫描

目标：

D:\下载\临时\samples

结果

找到的有害项目：57
已扫描项目：712

有害项目：

TR/Redcap.d6221d
- D:\下载\临时\samples\14082025_0645_prod.scr - 已跳过
TR/Injector.00595e
- D:\下载\临时\samples\152d0e7.exe - 已跳过
Trojan.TR/AVI.Crypt.cgljh
- D:\下载\临时\samples\3yQdiAGy.exe - 已跳过
Trojan.TR/AVI.PWS.Agent.dhgia
- D:\下载\临时\samples\43alwe.exe - 已跳过
TR/Injector.fa01e3
- D:\下载\临时\samples\6ec1fa3.exe - 已跳过
Trojan.TR/PSW.Agent.vdmzk
- D:\下载\临时\samples\78750f6ccc29fb.exe - 已跳过
Trojan.TR/PSW.Agent.vdmzk
- D:\下载\临时\samples\87ba8efac.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\8w4dc57nz.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\94106385500.exe - 已跳过
TR/Injector.2f9dc8
- D:\下载\临时\samples\951zg2.exe - 已跳过
Trojan.TR/Crypt.TPM.Gen
- D:\下载\临时\samples\9f2a7f3.exe - 已跳过
Trojan.TR/AVI.PWS.Agent.hcfyr
- D:\下载\临时\samples\aaMlTAR.exe - 已跳过
TR/AD.Swotter.db2b70
- D:\下载\临时\samples\Atlas Outdoor Reservation-Offer Aug 14.exe - 已跳过
Trojan:W32/Generic.cee!mind
- D:\下载\临时\samples\Bank Slip.exe - 已跳过
Trojan:w32/QuasarRAT.A1
- D:\下载\临时\samples\Client-built.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\crypted.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\DHL Overdue Account Notice.vbs - 已跳过
Trojan.TR/AVI.PWS.Agent.dplwq
- D:\下载\临时\samples\dimasik.exe - 已跳过
Trojan.TR/AD.SnakeStealer.sjwex
- D:\下载\临时\samples\Dll加载_250814-a5s1waaq2z\14082025_0048_13082025_newcustomerorder0006025\msedge_elf.dll - 已跳过
Trojan.TR/AD.GenSteal.efisn
- D:\下载\临时\samples\Dll加载_2e8577\2e8577\msedge_elf.dll - 已跳过
Trojan.TR/AVI.Agent.edtfk
- D:\下载\临时\samples\e1vgfr57.exe - 已跳过
Malware.JS/TrojanDropper.MA
- D:\下载\临时\samples\ES-ST-250509A-1.js - 已跳过
Trojan.TR/Redcap.kdvlm
- D:\下载\临时\samples\fm5emp.exe - 已跳过
Trojan.TR/Dropper.Gen
- D:\下载\临时\samples\h2xh5b3l.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\HbHxBwY.exe - 已跳过
TR/PSW.Agent.d7058a
- D:\下载\临时\samples\import_socket.exe - 已跳过
TR/Injector.3e0cef
- D:\下载\临时\samples\kbqo4awg7.exe - 已跳过
Trojan.TR/Crypt.FKM.Gen
- D:\下载\临时\samples\King-Search.exe - 已跳过
Heuristic.HEUR/AGEN.1309491
- D:\下载\临时\samples\Nueva orden de compra.scr.exe - 已跳过
TR/AVI.PWS.Agent.teenk
- D:\下载\临时\samples\P - EP List 2025.exe - 已跳过
Trojan.TR/Kryptik.ihmzv
- D:\下载\临时\samples\Payment Swiift Copy INV#PN6588.bat - 已跳过
TR/Dldr.Agent.674635
- D:\下载\临时\samples\PHIẾU THANH TOÁN HÓA ĐƠN.exe - 已跳过
Trojan.TR/Dropper.Gen
- D:\下载\临时\samples\PI-25-0053 .TXT01607 26 SPR TW01184 Solid.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\procapp.exe - 已跳过
TR/Redcap.f7bef2
- D:\下载\临时\samples\qahnosk.exe - 已跳过
TR/AVI.Agent.bac50a
- D:\下载\临时\samples\qnx7849w.exe - 已跳过
TR/Agent.jdtyo
- D:\下载\临时\samples\QUOT005643SEN-09182025.exe - 已跳过
Trojan:W32/Generic.cee!mind
- D:\下载\临时\samples\Quotation.cmd.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\Remittance Copy..exe - 已跳过
TR/Dropper.MSIL.Gen
- D:\下载\临时\samples\RFP-000000147220 - Inquiry to Supply & Deliver Spare Parts And Assessories 14-Aug-2025.bat - 已跳过
TR/Kryptik.690416
- D:\下载\临时\samples\RFQ-QU800-TTB-MATERIALS.exe - 已跳过
Trojan:W32/Generic.cee!mind
- D:\下载\临时\samples\rSALESQUOTATION738800124.exe - 已跳过
Trojan.TR/Dropper.Gen
- D:\下载\临时\samples\Runtime Broker V2.exe - 已跳过
Trojan:W32/Generic.cee!mind
- D:\下载\临时\samples\Scan450-12082025104711.exe - 已跳过
Trojan:W32/GenInflated.B
- D:\下载\临时\samples\SD-saste.exe\[9] C:/ProgramData/Microsoft/MapData/nw_elf.dll - 已跳过
Heuristic.HEUR/AGEN.1364963
- D:\下载\临时\samples\Setup.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\tpnbia.exe - 已跳过
TR/Injector.f292a5
- D:\下载\临时\samples\uoi2edn3.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\utmegi42.exe - 已跳过
Heuristic.HEUR/AGEN.1364963
- D:\下载\临时\samples\VexusModMenu.exe - 已跳过
Heuristic.HEUR/AGEN.1364963
- D:\下载\临时\samples\VM.exe - 已跳过
TR/Redcap.mrwuf
- D:\下载\临时\samples\z3jdbvz.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\ztxowsbc.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\白加黑_250814-af74hawlt5\556\python36.dll - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\白加黑_250814-akjlpswlw8\787ae660\rtinfo.dll - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\白加黑_250814-am41eswly8\HUSKY\python36.dll - 已跳过
Trojan:W64/Cerbu!mind_tc
- D:\下载\临时\samples\974282380c.exe - 已跳过'

显示全部楼层 · 发表于 2025-8-14 19:01:49

本帖最后由 PhozeAMTB 于 2025-8-14 20:08 编辑

WD 初扫根目录下剩单文件11x。
另有miss4x：Dll加载_250814-a5s1waaq2z、白加黑_250814-akjlpswlw8、白加黑_250814-hdvz6acm5x、白加黑_be08ed_6c9d39
共kill60x。

++++++++++++++++++
双击，Doc169189.js 运行报错，Invoice#20250813、Dll加载_250814-a5s1waaq2z miss。kl.64saasd.exe ASR阻止，允许后miss。
14082025_0636_kUa.lim.ps1、QsN.lim.ps1 杀衍生物。
DHL Overdue Account Notice.vbs AMSI杀。

显示全部楼层 · 发表于 2025-8-14 19:04:20

本帖最后由 xjwtzq 于 2025-8-14 22:20 编辑

腾讯常规+安恒余36---拦截衍生物4

显示全部楼层 · 发表于 2025-8-14 19:07:10

本帖最后由隔山打空气于 2025-8-14 20:38 编辑

Elastic Defend（默认配置）排除所有行为检测后剩余
Purchase Order_20250814.bat
dimasik.exe
jar未执行
rundll32/regsvr32手动执行dll的白加黑可能无法正常运行

以及，我讨厌用带EDR的东西测这么大个毒包调查几十个进程链简直不是人

显示全部楼层 · 发表于 2025-8-14 19:23:51

本帖最后由心痛的伤不起于 2025-8-14 20:11 编辑

瑞星剩余的

显示全部楼层 · 发表于 2025-8-14 19:24:13

本帖最后由压缩的时空于 2025-8-14 19:59 编辑

双击剩余样本，360拦截注入行为：

tip：Moiiupe_xp-YoudaoDict_fanyiweb_navigatiec安装时会释放木马，360拦截并清除

360:62x

双击样本： Bank Slip.exe
360弹窗：

双击样本：dimasik.exe
360无提示，程序运行：

双击样本：fxshader.exe
360弹窗：

显示全部楼层 · 发表于 2025-8-14 19:24:47

本帖最后由啊松于 2025-8-14 19:47 编辑

卡巴扫描剩余12，其中有两个是ksn拉黑的，我再上报一遍

显示全部楼层 · 发表于 2025-8-14 19:26:40

本帖最后由 Curve25519 于 2025-8-16 16:38 编辑

注：空文件夹、无法运行的已删除
解压后剩下的

扫描后

双击：
白加黑_250814-af74hawlt5 提示找不到 python36.dll（解压时监控杀）
2025/8/14 19:29:48;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025081401(1)\samples\白加黑_250814-am41eswly8\HUSKY\python36.dll;Win32/TrojanDownloader.Rugmi.AXH 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;B489B787A45C970BDE92714A2BFABCAE1BD9C6DC;2025/8/14 19:29:22;;

白加黑_250814-akjlpswlw8 提示找不到 rtinfo.dll（解压时监控杀）
2025/8/14 19:29:22;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025081401(1)\samples\白加黑_250814-akjlpswlw8\787ae660\rtinfo.dll;Win64/Agent.ECK 特洛伊木马的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;FFD4422C1728801EB27D61116D5B0D1C7553BD42;2025/8/14 19:29:12;;

白加黑_250814-am41eswly8 提示找不到 python36.dll（监控杀）
2025/8/14 19:29:48;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025081401(1)\samples\白加黑_250814-am41eswly8\HUSKY\python36.dll;Win32/TrojanDownloader.Rugmi.AXH 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;B489B787A45C970BDE92714A2BFABCAE1BD9C6DC;2025/8/14 19:29:22;;

白加黑_be08ed_6c9d39 弹报错框（监控杀 dll）
2025/8/14 19:29:25;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025081401(1)\samples\白加黑_be08ed_6c9d39\Naebpesdog.dsw;Generik.LECCXGF 特洛伊木马的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;9F4D585DDE6CDDD7099768EF555A8FDE3255275C;2025/8/14 19:29:13;;
2025/8/14 19:29:25;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025081401(1)\samples\白加黑_be08ed_6c9d39\Zangraedshoong.nx;Generik.EMAYKGK 特洛伊木马的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;972CE32A174309C3AC2DDED39AD8EC3FCCFECB32;2025/8/14 19:29:13;;
2025/8/14 19:29:26;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025081401(1)\samples\白加黑_be08ed_6c9d39\rtl120.bpl;Win32/TrojanDownloader.Rugmi.ARZ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;05D61CE46EA7203469E99BDACB6734F1D9A236C0;2025/8/14 19:29:13;;

白加黑_250814-hdvz6acm5x 双击运行报错（监控杀）
2025/8/14 19:29:25;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025081401(1)\samples\白加黑_250814-hdvz6acm5x\14082025_0637_Blade_Grid64\mfc140u.dll;Suspicious Object;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;5161E3ADA86CF530F3A428C014F3CD23D7D9EED0;2025/8/14 19:29:13;;

974282380c.exe、Doc169189.js 右键查看 LiveGrid 信誉时突然杀了，本来解压、扫描、双击都不报
2025/8/14 20:19:14;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\974282380c.exe;Suspicious Object;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Program Files\ESET\ESET Security\egui.exe (F4A0F77A97D9846A9FE130650AEB72AF5FCD3D6A).;5273D9BDB369394C71447A618D0F665963AC972C;2025/8/14 19:29:25;;

2025/8/14 20:21:45;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\Doc169189.js;Suspicious Object;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Program Files\ESET\ESET Security\egui.exe (F4A0F77A97D9846A9FE130650AEB72AF5FCD3D6A).;28ABDBFF2E9F8967380C7B19D06EAEA72BE949D5;2025/8/14 20:17:54;;

最后还剩 Invoice#20250813.bat、kl.64saasd.exe、Purchase Order_20250814.bat
解压、扫描、双击不报，手动上报以供 ESET 分析。

--------------------------------------------------------------

0816 复测之前 miss 的三个文件，解压、扫描均 kill all

扫描日志
检测引擎的版本: 31702 (20250815)
日期: 2025/8/16 时间: 16:32:08
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\Invoice#20250813.bat;W:\Sandbox\Admin\DefaultBox\drive\W\kl.64saasd.exe;W:\Sandbox\Admin\DefaultBox\drive\W\Purchase Order_20250814.bat
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\DefaultBox\drive\W\Invoice#20250813.bat - BAT/TrojanDropper.Agent.NRB 特洛伊木马 - 已保留
W:\Sandbox\Admin\DefaultBox\drive\W\Purchase Order_20250814.bat - PowerShell/TrojanDownloader.Agent.NGW 特洛伊木马 - 已保留
W:\Sandbox\Admin\DefaultBox\drive\W\kl.64saasd.exe - Generik.KOKUNAU 特洛伊木马的变量 - 已保留
已扫描的对象数: 6
检测数: 3
已清除的对象数: 0
完成时间: 16:32:08 总扫描时间: 0 秒 (00:00:00)

2025/8/16 16:36:19;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb9912.18462.rartemp\samples\Purchase Order_20250814.bat;PowerShell/TrojanDownloader.Agent.NGW 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;9A287200161F1B7206EE67E1B1CC3BDA4E2AB735;2025/8/14 19:29:30;;
2025/8/16 16:36:37;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb9912.20327.rartemp\samples\Invoice#20250813.bat;BAT/TrojanDropper.Agent.NRB 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;4D124B19A81E76B76A388194E66A1CA83CE1BED6;2025/8/14 19:29:16;;
2025/8/16 16:36:44;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\Invoice#20250813.bat;BAT/TrojanDropper.Agent.NRB 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (F9C05A8F0444EBA66D1B7792FDBAA287BDB12B30).;4D124B19A81E76B76A388194E66A1CA83CE1BED6;2025/8/14 19:29:16;;
2025/8/16 16:36:54;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb9912.21783.rartemp\samples\kl.64saasd.exe;Generik.KOKUNAU 特洛伊木马的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;A93838D816422EDB33515159B283198850FECA4B;2025/8/14 19:29:30;;

显示全部楼层 · 发表于 2025-8-14 19:46:59

本帖最后由 UNknownOoo 于 2025-8-14 20:16 编辑

火绒
扫描：25x（处理后剩余51x）

病毒库时间：2025-08-13 19:25
开始时间：2025-08-14 20:01
总计用时：00:00:33
扫描对象：6064
扫描文件：126
发现风险：25
已处理风险：25
病毒详情：
风险路径：C:\Users\UnknownOoo\Desktop\samples\9f2a7f3.exe, 病毒名：Trojan/Obfuscated.kh, 病毒ID：c0c4088b2333a89f, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\Client-built.exe, 病毒名：Backdoor/Quasar.f, 病毒ID：fdb28aa2b843f0e1, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\DHL Overdue Account Notice.vbs, 病毒名：Trojan/VBS.Agent.dq, 病毒ID：84e00d55261d1090, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\Doc169189.js, 病毒名：SVM:TrojanDownloader/JS.MalBehav.gen!W, 病毒ID：57c5def56bdeff90, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\974282380c.exe, 病毒名：Backdoor/Kasidet.a, 病毒ID：7d685cbe2eff7e6e, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\e1vgfr57.exe, 病毒名：Trojan/W64.Agent.fx, 病毒ID：9df11d360af31ff5, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\fm5emp.exe, 病毒名：Trojan/Injector.biz, 病毒ID：9174874ed7d6b025, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\f1681fc.js, 病毒名：Trojan/JS.Obfuscated.cd, 病毒ID：4bacf06cc382d9e3, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\Invoice#20250813.bat, 病毒名：Trojan/BAT.Agent.df, 病毒ID：e8c7fb1c57232b1f, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\import_socket.exe, 病毒名：TrojanSpy/Python.PwStealer.j, 病毒ID：4d9179b6d8be9d1a, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\Nueva orden de compra.scr.exe, 病毒名：HEUR:VirTool/MSIL.Obfuscator.gen!A, 病毒ID：3fda44dcb57a42be, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\King-Search.exe, 病毒名：Trojan/Python.ShellLoader.cx, 病毒ID：c8bdf166f563e741, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\ES-ST-250509A-1.js, 病毒名：TrojanDownloader/ModiLoader.a, 病毒ID：32febaeb3aaa3ec8, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\PI-25-0053 .TXT01607 26 SPR TW01184 Solid.exe, 病毒名：TrojanSpy/Stealer.gw, 病毒ID：597c02e061d174b3, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\qnx7849w.exe, 病毒名：Backdoor/CobaltStrike.il, 病毒ID：b870a85617697bc9, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\QUOT005643SEN-09182025.exe, 病毒名：TrojanSpy/MSIL.Stealer.iu, 病毒ID：96dcfe0ec869d52e, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\Remittance Copy..exe, 病毒名：HEUR:TrojanSpy/MSIL.AgentTesla.sl, 病毒ID：875a4123dcd11aa5, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\Runtime Broker V2.exe, 病毒名：Backdoor/Crysan.a, 病毒ID：788a438b06aa5a7e, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\Setup.exe, 病毒名：HEUR:Trojan/HVM, 病毒ID：5419760efed43705, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\procapp.exe, 病毒名：HEUR:TrojanSpy/Stealer.cn, 病毒ID：3bedbce4bdc03c44, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\VexusModMenu.exe, 病毒名：TrojanSpy/Python.Stealer.d, 病毒ID：d06410f9a3897eb1, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\VM.exe, 病毒名：TrojanSpy/Python.Stealer.d, 病毒ID：d06410f9a3897eb1, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\SD-saste.exe >> C:\ProgramData\Microsoft\regsvr32.dll, 病毒名：Trojan/Agent.chv, 病毒ID：d85e496453c5a90f, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\Moiiupe_xp-YoudaoDict_fanyiweb_navigatiec.msi, 病毒名：Trojan/HTML.Agent.an, 病毒ID：902eeb2873695a08, 处理结果：已处理，删除文件
风险路径：C:\Users\UnknownOoo\Desktop\samples\Moiiupe_xp-YoudaoDict_fanyiweb_navigatiec.msi, 病毒名：Trojan/BAT.Runner.p, 病毒ID：efba62601c3b765d, 处理结果：已处理，删除文件

复制代码

X-Sec
扫描：75x（剩9x）

显示全部楼层 · 发表于 2025-8-14 20:00:08

本帖最后由 ANY.LNK 于 2025-8-14 22:22 编辑

微软
断断续续的清理到最后就剩下这些：

下面是没有第一时间清除的

Doc169189.js - 双击报错无法执行

PEDIDO-COTIZACION.jar - 没有Java运行环境

f1681c.js - 报告可疑的JavaScript进程

随后应该是这个（警报堆一起了）

白加黑_250814-akjlpswlw8 - LummaStealer

双击，EDR报告加载异常的DLL，修改启动项，进程注入和凭据窃取

一段时间后黑DLL报毒Trojan:Script/Wacatac.H!ml

白加黑_be08ed_6c9d39 - 同为LummaStealer

双击报告LummaStealer行为

此后rt120.cpl被报告Trojan:Script/Wacatac.H!ml

Dll加载_250814-a5s1waaq2z

报告异常DLL加载，启动项添加和进程注入（这个作者疑似写崩了，注入后立即就崩溃了）

DLL随后被报告Trojan:Script/Wacatac.H!ml

Moiiupe_xp-YoudaoDict_fanyiweb_navigatiec.msi - 算半个拦截失败

添加排除项 - 没有报告

但是作者漏了一部分，所以被拦截了载荷，没有继续执行

SD-saste.exe - 基本上算拦截失败了

被添加排除项，无警告（很奇怪，此样本将整个C盘添加了排除都没有报告，但随后自己尝试手动添加就会报告）

释放了多个恶意载荷并执行，删除排除项后才报告

qyt.exe - 白加黑

regsvr32.exe，计划任务DLL加载

上报样本去……

显示全部楼层 · 发表于 2025-8-14 20:01:42

本帖最后由 superLYT 于 2025-8-15 10:56 编辑

BDTS，扫描后剩余样本如图，双击后基本上全部ATD或者杀衍生物，白加黑全部文件夹的黑dll都被杀了

显示全部楼层 · 发表于 2025-8-14 20:02:25

本帖最后由 chyraymond 于 2025-8-14 20:10 编辑

Kaspersky
剩余样本 30X

显示全部楼层 · 发表于 2025-8-14 20:03:05

本帖最后由 xcvbaby 于 2025-8-14 20:25 编辑

腾讯ioa：50x

显示全部楼层 · 发表于 2025-8-14 20:15:08

本帖最后由 a233 于 2025-8-14 20:19 编辑

华为

显示全部楼层 · 发表于 2025-8-14 20:23:37

本帖最后由 xiaozhu009 于 2025-8-14 21:48 编辑

360杀毒

显示全部楼层 · 发表于 2025-8-14 20:23:46

本帖最后由 lingchenheiye 于 2025-8-14 21:13 编辑

高启发下火绒剩35，文件夹内的白加黑只有几个exe文件处理了，黑dll仍然存在，不计入。
ESET NOD32扫描剩14个（无法运行的已删除），产生68条日志记录。

显示全部楼层 · 发表于 2025-8-14 20:29:12

本帖最后由 xth81 于 2025-8-14 20:53 编辑

卡巴测试优选

显示全部楼层 · 发表于 2025-8-14 20:38:52

学习一下

[病毒样本] 【开放测试】卡饭病毒样本包 20250814 第280期

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源