【开放测试】卡饭病毒样本包 20250814 第280期

UNknownOoo

火绒
扫描：25x（处理后剩余51x）

1. 病毒库时间：2025-08-13 19:25
   
2. 开始时间：2025-08-14 20:01
   
3. 总计用时：00:00:33
   
4. 扫描对象：6064
   
5. 扫描文件：126
   
6. 发现风险：25
   
7. 已处理风险：25
   
8. 病毒详情：
   
9. 风险路径：C:\Users\UnknownOoo\Desktop\samples\9f2a7f3.exe, 病毒名：Trojan/Obfuscated.kh, 病毒ID：c0c4088b2333a89f, 处理结果：已处理，删除文件
   
10. 风险路径：C:\Users\UnknownOoo\Desktop\samples\Client-built.exe, 病毒名：Backdoor/Quasar.f, 病毒ID：fdb28aa2b843f0e1, 处理结果：已处理，删除文件
    
11. 风险路径：C:\Users\UnknownOoo\Desktop\samples\DHL Overdue Account Notice.vbs, 病毒名：Trojan/VBS.Agent.dq, 病毒ID：84e00d55261d1090, 处理结果：已处理，删除文件
    
12. 风险路径：C:\Users\UnknownOoo\Desktop\samples\Doc169189.js, 病毒名：SVM:TrojanDownloader/JS.MalBehav.gen!W, 病毒ID：57c5def56bdeff90, 处理结果：已处理，删除文件
    
13. 风险路径：C:\Users\UnknownOoo\Desktop\samples\974282380c.exe, 病毒名：Backdoor/Kasidet.a, 病毒ID：7d685cbe2eff7e6e, 处理结果：已处理，删除文件
    
14. 风险路径：C:\Users\UnknownOoo\Desktop\samples\e1vgfr57.exe, 病毒名：Trojan/W64.Agent.fx, 病毒ID：9df11d360af31ff5, 处理结果：已处理，删除文件
    
15. 风险路径：C:\Users\UnknownOoo\Desktop\samples\fm5emp.exe, 病毒名：Trojan/Injector.biz, 病毒ID：9174874ed7d6b025, 处理结果：已处理，删除文件
    
16. 风险路径：C:\Users\UnknownOoo\Desktop\samples\f1681fc.js, 病毒名：Trojan/JS.Obfuscated.cd, 病毒ID：4bacf06cc382d9e3, 处理结果：已处理，删除文件
    
17. 风险路径：C:\Users\UnknownOoo\Desktop\samples\Invoice#20250813.bat, 病毒名：Trojan/BAT.Agent.df, 病毒ID：e8c7fb1c57232b1f, 处理结果：已处理，删除文件
    
18. 风险路径：C:\Users\UnknownOoo\Desktop\samples\import_socket.exe, 病毒名：TrojanSpy/Python.PwStealer.j, 病毒ID：4d9179b6d8be9d1a, 处理结果：已处理，删除文件
    
19. 风险路径：C:\Users\UnknownOoo\Desktop\samples\Nueva orden de compra.scr.exe, 病毒名：HEUR:VirTool/MSIL.Obfuscator.gen!A, 病毒ID：3fda44dcb57a42be, 处理结果：已处理，删除文件
    
20. 风险路径：C:\Users\UnknownOoo\Desktop\samples\King-Search.exe, 病毒名：Trojan/Python.ShellLoader.cx, 病毒ID：c8bdf166f563e741, 处理结果：已处理，删除文件
    
21. 风险路径：C:\Users\UnknownOoo\Desktop\samples\ES-ST-250509A-1.js, 病毒名：TrojanDownloader/ModiLoader.a, 病毒ID：32febaeb3aaa3ec8, 处理结果：已处理，删除文件
    
22. 风险路径：C:\Users\UnknownOoo\Desktop\samples\PI-25-0053 .TXT01607  26 SPR TW01184 Solid.exe, 病毒名：TrojanSpy/Stealer.gw, 病毒ID：597c02e061d174b3, 处理结果：已处理，删除文件
    
23. 风险路径：C:\Users\UnknownOoo\Desktop\samples\qnx7849w.exe, 病毒名：Backdoor/CobaltStrike.il, 病毒ID：b870a85617697bc9, 处理结果：已处理，删除文件
    
24. 风险路径：C:\Users\UnknownOoo\Desktop\samples\QUOT005643SEN-09182025.exe, 病毒名：TrojanSpy/MSIL.Stealer.iu, 病毒ID：96dcfe0ec869d52e, 处理结果：已处理，删除文件
    
25. 风险路径：C:\Users\UnknownOoo\Desktop\samples\Remittance Copy..exe, 病毒名：HEUR:TrojanSpy/MSIL.AgentTesla.sl, 病毒ID：875a4123dcd11aa5, 处理结果：已处理，删除文件
    
26. 风险路径：C:\Users\UnknownOoo\Desktop\samples\Runtime Broker V2.exe, 病毒名：Backdoor/Crysan.a, 病毒ID：788a438b06aa5a7e, 处理结果：已处理，删除文件
    
27. 风险路径：C:\Users\UnknownOoo\Desktop\samples\Setup.exe, 病毒名：HEUR:Trojan/HVM, 病毒ID：5419760efed43705, 处理结果：已处理，删除文件
    
28. 风险路径：C:\Users\UnknownOoo\Desktop\samples\procapp.exe, 病毒名：HEUR:TrojanSpy/Stealer.cn, 病毒ID：3bedbce4bdc03c44, 处理结果：已处理，删除文件
    
29. 风险路径：C:\Users\UnknownOoo\Desktop\samples\VexusModMenu.exe, 病毒名：TrojanSpy/Python.Stealer.d, 病毒ID：d06410f9a3897eb1, 处理结果：已处理，删除文件
    
30. 风险路径：C:\Users\UnknownOoo\Desktop\samples\VM.exe, 病毒名：TrojanSpy/Python.Stealer.d, 病毒ID：d06410f9a3897eb1, 处理结果：已处理，删除文件
    
31. 风险路径：C:\Users\UnknownOoo\Desktop\samples\SD-saste.exe >> C:\ProgramData\Microsoft\regsvr32.dll, 病毒名：Trojan/Agent.chv, 病毒ID：d85e496453c5a90f, 处理结果：已处理，删除文件
    
32. 风险路径：C:\Users\UnknownOoo\Desktop\samples\Moiiupe_xp-YoudaoDict_fanyiweb_navigatiec.msi, 病毒名：Trojan/HTML.Agent.an, 病毒ID：902eeb2873695a08, 处理结果：已处理，删除文件
    
33. 风险路径：C:\Users\UnknownOoo\Desktop\samples\Moiiupe_xp-YoudaoDict_fanyiweb_navigatiec.msi, 病毒名：Trojan/BAT.Runner.p, 病毒ID：efba62601c3b765d, 处理结果：已处理，删除文件
    

复制代码

X-Sec
扫描：75x（剩9x）

ANY.LNK

微软
断断续续的清理到最后就剩下这些：



下面是没有第一时间清除的

Doc169189.js - 双击报错无法执行

PEDIDO-COTIZACION.jar - 没有Java运行环境

f1681c.js - 报告可疑的JavaScript进程



随后应该是这个（警报堆一起了）



白加黑_250814-akjlpswlw8 - LummaStealer

双击，EDR报告加载异常的DLL，修改启动项，进程注入和凭据窃取



一段时间后黑DLL报毒Trojan:Script/Wacatac.H!ml

白加黑_be08ed_6c9d39 - 同为LummaStealer

双击报告LummaStealer行为



此后rt120.cpl被报告Trojan:Script/Wacatac.H!ml

Dll加载_250814-a5s1waaq2z

报告异常DLL加载，启动项添加和进程注入（这个作者疑似写崩了，注入后立即就崩溃了）



DLL随后被报告Trojan:Script/Wacatac.H!ml

Moiiupe_xp-YoudaoDict_fanyiweb_navigatiec.msi - 算半个拦截失败

添加排除项 - 没有报告

但是作者漏了一部分，所以被拦截了载荷，没有继续执行



SD-saste.exe - 基本上算拦截失败了

被添加排除项，无警告（很奇怪，此样本将整个C盘添加了排除都没有报告，但随后自己尝试手动添加就会报告）

释放了多个恶意载荷并执行，删除排除项后才报告

qyt.exe - 白加黑



regsvr32.exe，计划任务DLL加载



上报样本去……

superLYT

BDTS，扫描后剩余样本如图，双击后基本上全部ATD或者杀衍生物，白加黑全部文件夹的黑dll都被杀了

chyraymond

Kaspersky
剩余样本 30X

xcvbaby

腾讯ioa：50x  

a233

华为

xiaozhu009

360杀毒

lingchenheiye

高启发下火绒剩35，文件夹内的白加黑只有几个exe文件处理了，黑dll仍然存在，不计入。
ESET NOD32扫描剩14个（无法运行的已删除），产生68条日志记录。

xth81

卡巴测试优选

yyds2023

学习一下