【开放测试】卡饭病毒样本包 20250814 第280期

显示全部楼层 · 发表于 2025-8-14 18:55:07

本帖最后由 wwwab 于 2025-8-15 09:51 编辑

当前共提供5种下载链接：
下载1: https://pan.huang1111.cn/s/mxlPeh1 密码:53950546
下载2: https://pan.moe/s/QP6LSR 密码:53950546
下载3: https://c.wss.cc/f/hqe3x04x9gl 密码:53950546 有效期:24h
下载4: https://qfile.qq.com/q/fEH6fC94rK 有效期:7日
下载5: https://krakenfiles.com/view/RzmFeb6HSO/file.html

压缩包 SHA-256: 7bce12ffb380ad75f94eadcc8a7991e286910e47b2f09ae052d1bed8fb68a51d

样本数量: 75 (单位: 个)
[对于白加黑等类型样本，每个文件夹统计为1个样本，运行方式见空子文件夹名称]

当前测试阶段：开放测试

注意事项

1. 占楼后2小时内未能给出测试结果的，视为灌水，按照论坛规定处理。
2. 如有其他违规行为，按照论坛相关规定处理。

温馨提示与免责声明

样本仅供学习、研究、测试用途，测试前您应知晓样本可能具有威胁您的计算机安全的风险，下载即代表您应自行承担相应带来的所有风险。

显示全部楼层 · 发表于 2025-8-14 18:56:04

本帖最后由 z80405789 于 2025-8-14 19:09 编辑

云溪杀毒剩

显示全部楼层 · 发表于 2025-8-14 19:00:17

本帖最后由 ajkwbubnap 于 2025-8-14 20:05 编辑

卡巴 kill 72*（无图

WithSecure™ Client Security Premium日志：'
2025年8月14日 19:04:59 - 19:06:31 (UTC+08:00)

扫描类型：恶意软件扫描

目标：

D:\下载\临时\samples

结果

找到的有害项目：57
已扫描项目：712

有害项目：

TR/Redcap.d6221d
- D:\下载\临时\samples\14082025_0645_prod.scr - 已跳过
TR/Injector.00595e
- D:\下载\临时\samples\152d0e7.exe - 已跳过
Trojan.TR/AVI.Crypt.cgljh
- D:\下载\临时\samples\3yQdiAGy.exe - 已跳过
Trojan.TR/AVI.PWS.Agent.dhgia
- D:\下载\临时\samples\43alwe.exe - 已跳过
TR/Injector.fa01e3
- D:\下载\临时\samples\6ec1fa3.exe - 已跳过
Trojan.TR/PSW.Agent.vdmzk
- D:\下载\临时\samples\78750f6ccc29fb.exe - 已跳过
Trojan.TR/PSW.Agent.vdmzk
- D:\下载\临时\samples\87ba8efac.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\8w4dc57nz.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\94106385500.exe - 已跳过
TR/Injector.2f9dc8
- D:\下载\临时\samples\951zg2.exe - 已跳过
Trojan.TR/Crypt.TPM.Gen
- D:\下载\临时\samples\9f2a7f3.exe - 已跳过
Trojan.TR/AVI.PWS.Agent.hcfyr
- D:\下载\临时\samples\aaMlTAR.exe - 已跳过
TR/AD.Swotter.db2b70
- D:\下载\临时\samples\Atlas Outdoor Reservation-Offer Aug 14.exe - 已跳过
Trojan:W32/Generic.cee!mind
- D:\下载\临时\samples\Bank Slip.exe - 已跳过
Trojan:w32/QuasarRAT.A1
- D:\下载\临时\samples\Client-built.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\crypted.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\DHL Overdue Account Notice.vbs - 已跳过
Trojan.TR/AVI.PWS.Agent.dplwq
- D:\下载\临时\samples\dimasik.exe - 已跳过
Trojan.TR/AD.SnakeStealer.sjwex
- D:\下载\临时\samples\Dll加载_250814-a5s1waaq2z\14082025_0048_13082025_newcustomerorder0006025\msedge_elf.dll - 已跳过
Trojan.TR/AD.GenSteal.efisn
- D:\下载\临时\samples\Dll加载_2e8577\2e8577\msedge_elf.dll - 已跳过
Trojan.TR/AVI.Agent.edtfk
- D:\下载\临时\samples\e1vgfr57.exe - 已跳过
Malware.JS/TrojanDropper.MA
- D:\下载\临时\samples\ES-ST-250509A-1.js - 已跳过
Trojan.TR/Redcap.kdvlm
- D:\下载\临时\samples\fm5emp.exe - 已跳过
Trojan.TR/Dropper.Gen
- D:\下载\临时\samples\h2xh5b3l.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\HbHxBwY.exe - 已跳过
TR/PSW.Agent.d7058a
- D:\下载\临时\samples\import_socket.exe - 已跳过
TR/Injector.3e0cef
- D:\下载\临时\samples\kbqo4awg7.exe - 已跳过
Trojan.TR/Crypt.FKM.Gen
- D:\下载\临时\samples\King-Search.exe - 已跳过
Heuristic.HEUR/AGEN.1309491
- D:\下载\临时\samples\Nueva orden de compra.scr.exe - 已跳过
TR/AVI.PWS.Agent.teenk
- D:\下载\临时\samples\P - EP List 2025.exe - 已跳过
Trojan.TR/Kryptik.ihmzv
- D:\下载\临时\samples\Payment Swiift Copy INV#PN6588.bat - 已跳过
TR/Dldr.Agent.674635
- D:\下载\临时\samples\PHIẾU THANH TOÁN HÓA ĐƠN.exe - 已跳过
Trojan.TR/Dropper.Gen
- D:\下载\临时\samples\PI-25-0053 .TXT01607 26 SPR TW01184 Solid.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\procapp.exe - 已跳过
TR/Redcap.f7bef2
- D:\下载\临时\samples\qahnosk.exe - 已跳过
TR/AVI.Agent.bac50a
- D:\下载\临时\samples\qnx7849w.exe - 已跳过
TR/Agent.jdtyo
- D:\下载\临时\samples\QUOT005643SEN-09182025.exe - 已跳过
Trojan:W32/Generic.cee!mind
- D:\下载\临时\samples\Quotation.cmd.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\Remittance Copy..exe - 已跳过
TR/Dropper.MSIL.Gen
- D:\下载\临时\samples\RFP-000000147220 - Inquiry to Supply & Deliver Spare Parts And Assessories 14-Aug-2025.bat - 已跳过
TR/Kryptik.690416
- D:\下载\临时\samples\RFQ-QU800-TTB-MATERIALS.exe - 已跳过
Trojan:W32/Generic.cee!mind
- D:\下载\临时\samples\rSALESQUOTATION738800124.exe - 已跳过
Trojan.TR/Dropper.Gen
- D:\下载\临时\samples\Runtime Broker V2.exe - 已跳过
Trojan:W32/Generic.cee!mind
- D:\下载\临时\samples\Scan450-12082025104711.exe - 已跳过
Trojan:W32/GenInflated.B
- D:\下载\临时\samples\SD-saste.exe\[9] C:/ProgramData/Microsoft/MapData/nw_elf.dll - 已跳过
Heuristic.HEUR/AGEN.1364963
- D:\下载\临时\samples\Setup.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\tpnbia.exe - 已跳过
TR/Injector.f292a5
- D:\下载\临时\samples\uoi2edn3.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\utmegi42.exe - 已跳过
Heuristic.HEUR/AGEN.1364963
- D:\下载\临时\samples\VexusModMenu.exe - 已跳过
Heuristic.HEUR/AGEN.1364963
- D:\下载\临时\samples\VM.exe - 已跳过
TR/Redcap.mrwuf
- D:\下载\临时\samples\z3jdbvz.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\ztxowsbc.exe - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\白加黑_250814-af74hawlt5\556\python36.dll - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\白加黑_250814-akjlpswlw8\787ae660\rtinfo.dll - 已跳过
Trojan:W32/Generic.abch!mind
- D:\下载\临时\samples\白加黑_250814-am41eswly8\HUSKY\python36.dll - 已跳过
Trojan:W64/Cerbu!mind_tc
- D:\下载\临时\samples\974282380c.exe - 已跳过'

显示全部楼层 · 发表于 2025-8-14 19:01:49

本帖最后由 PhozeAMTB 于 2025-8-14 20:08 编辑

WD 初扫根目录下剩单文件11x。
另有miss4x：Dll加载_250814-a5s1waaq2z、白加黑_250814-akjlpswlw8、白加黑_250814-hdvz6acm5x、白加黑_be08ed_6c9d39
共kill60x。

++++++++++++++++++
双击，Doc169189.js 运行报错，Invoice#20250813、Dll加载_250814-a5s1waaq2z miss。kl.64saasd.exe ASR阻止，允许后miss。
14082025_0636_kUa.lim.ps1、QsN.lim.ps1 杀衍生物。
DHL Overdue Account Notice.vbs AMSI杀。

显示全部楼层 · 发表于 2025-8-14 19:04:20

本帖最后由 xjwtzq 于 2025-8-14 22:20 编辑

腾讯常规+安恒余36---拦截衍生物4

显示全部楼层 · 发表于 2025-8-14 19:07:10

本帖最后由隔山打空气于 2025-8-14 20:38 编辑

Elastic Defend（默认配置）排除所有行为检测后剩余
Purchase Order_20250814.bat
dimasik.exe
jar未执行
rundll32/regsvr32手动执行dll的白加黑可能无法正常运行

以及，我讨厌用带EDR的东西测这么大个毒包调查几十个进程链简直不是人

显示全部楼层 · 发表于 2025-8-14 19:23:51

本帖最后由心痛的伤不起于 2025-8-14 20:11 编辑

瑞星剩余的

显示全部楼层 · 发表于 2025-8-14 19:24:13

本帖最后由压缩的时空于 2025-8-14 19:59 编辑

双击剩余样本，360拦截注入行为：

tip：Moiiupe_xp-YoudaoDict_fanyiweb_navigatiec安装时会释放木马，360拦截并清除

360:62x

双击样本： Bank Slip.exe
360弹窗：

双击样本：dimasik.exe
360无提示，程序运行：

双击样本：fxshader.exe
360弹窗：

显示全部楼层 · 发表于 2025-8-14 19:24:47

本帖最后由啊松于 2025-8-14 19:47 编辑

卡巴扫描剩余12，其中有两个是ksn拉黑的，我再上报一遍

显示全部楼层 · 发表于 2025-8-14 19:26:40

本帖最后由 Curve25519 于 2025-8-16 16:38 编辑

注：空文件夹、无法运行的已删除
解压后剩下的

扫描后

双击：
白加黑_250814-af74hawlt5 提示找不到 python36.dll（解压时监控杀）
2025/8/14 19:29:48;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025081401(1)\samples\白加黑_250814-am41eswly8\HUSKY\python36.dll;Win32/TrojanDownloader.Rugmi.AXH 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;B489B787A45C970BDE92714A2BFABCAE1BD9C6DC;2025/8/14 19:29:22;;

白加黑_250814-akjlpswlw8 提示找不到 rtinfo.dll（解压时监控杀）
2025/8/14 19:29:22;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025081401(1)\samples\白加黑_250814-akjlpswlw8\787ae660\rtinfo.dll;Win64/Agent.ECK 特洛伊木马的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;FFD4422C1728801EB27D61116D5B0D1C7553BD42;2025/8/14 19:29:12;;

白加黑_250814-am41eswly8 提示找不到 python36.dll（监控杀）
2025/8/14 19:29:48;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025081401(1)\samples\白加黑_250814-am41eswly8\HUSKY\python36.dll;Win32/TrojanDownloader.Rugmi.AXH 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;B489B787A45C970BDE92714A2BFABCAE1BD9C6DC;2025/8/14 19:29:22;;

白加黑_be08ed_6c9d39 弹报错框（监控杀 dll）
2025/8/14 19:29:25;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025081401(1)\samples\白加黑_be08ed_6c9d39\Naebpesdog.dsw;Generik.LECCXGF 特洛伊木马的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;9F4D585DDE6CDDD7099768EF555A8FDE3255275C;2025/8/14 19:29:13;;
2025/8/14 19:29:25;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025081401(1)\samples\白加黑_be08ed_6c9d39\Zangraedshoong.nx;Generik.EMAYKGK 特洛伊木马的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;972CE32A174309C3AC2DDED39AD8EC3FCCFECB32;2025/8/14 19:29:13;;
2025/8/14 19:29:26;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025081401(1)\samples\白加黑_be08ed_6c9d39\rtl120.bpl;Win32/TrojanDownloader.Rugmi.ARZ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;05D61CE46EA7203469E99BDACB6734F1D9A236C0;2025/8/14 19:29:13;;

白加黑_250814-hdvz6acm5x 双击运行报错（监控杀）
2025/8/14 19:29:25;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\infected2025081401(1)\samples\白加黑_250814-hdvz6acm5x\14082025_0637_Blade_Grid64\mfc140u.dll;Suspicious Object;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;5161E3ADA86CF530F3A428C014F3CD23D7D9EED0;2025/8/14 19:29:13;;

974282380c.exe、Doc169189.js 右键查看 LiveGrid 信誉时突然杀了，本来解压、扫描、双击都不报
2025/8/14 20:19:14;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\974282380c.exe;Suspicious Object;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Program Files\ESET\ESET Security\egui.exe (F4A0F77A97D9846A9FE130650AEB72AF5FCD3D6A).;5273D9BDB369394C71447A618D0F665963AC972C;2025/8/14 19:29:25;;

2025/8/14 20:21:45;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\Doc169189.js;Suspicious Object;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Program Files\ESET\ESET Security\egui.exe (F4A0F77A97D9846A9FE130650AEB72AF5FCD3D6A).;28ABDBFF2E9F8967380C7B19D06EAEA72BE949D5;2025/8/14 20:17:54;;

最后还剩 Invoice#20250813.bat、kl.64saasd.exe、Purchase Order_20250814.bat
解压、扫描、双击不报，手动上报以供 ESET 分析。

--------------------------------------------------------------

0816 复测之前 miss 的三个文件，解压、扫描均 kill all

扫描日志
检测引擎的版本: 31702 (20250815)
日期: 2025/8/16 时间: 16:32:08
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\Invoice#20250813.bat;W:\Sandbox\Admin\DefaultBox\drive\W\kl.64saasd.exe;W:\Sandbox\Admin\DefaultBox\drive\W\Purchase Order_20250814.bat
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\DefaultBox\drive\W\Invoice#20250813.bat - BAT/TrojanDropper.Agent.NRB 特洛伊木马 - 已保留
W:\Sandbox\Admin\DefaultBox\drive\W\Purchase Order_20250814.bat - PowerShell/TrojanDownloader.Agent.NGW 特洛伊木马 - 已保留
W:\Sandbox\Admin\DefaultBox\drive\W\kl.64saasd.exe - Generik.KOKUNAU 特洛伊木马的变量 - 已保留
已扫描的对象数: 6
检测数: 3
已清除的对象数: 0
完成时间: 16:32:08 总扫描时间: 0 秒 (00:00:00)

2025/8/16 16:36:19;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb9912.18462.rartemp\samples\Purchase Order_20250814.bat;PowerShell/TrojanDownloader.Agent.NGW 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;9A287200161F1B7206EE67E1B1CC3BDA4E2AB735;2025/8/14 19:29:30;;
2025/8/16 16:36:37;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb9912.20327.rartemp\samples\Invoice#20250813.bat;BAT/TrojanDropper.Agent.NRB 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;4D124B19A81E76B76A388194E66A1CA83CE1BED6;2025/8/14 19:29:16;;
2025/8/16 16:36:44;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\Invoice#20250813.bat;BAT/TrojanDropper.Agent.NRB 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (F9C05A8F0444EBA66D1B7792FDBAA287BDB12B30).;4D124B19A81E76B76A388194E66A1CA83CE1BED6;2025/8/14 19:29:16;;
2025/8/16 16:36:54;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb9912.21783.rartemp\samples\kl.64saasd.exe;Generik.KOKUNAU 特洛伊木马的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;A93838D816422EDB33515159B283198850FECA4B;2025/8/14 19:29:30;;

[病毒样本] 【开放测试】卡饭病毒样本包 20250814 第280期

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分