【开放测试】卡饭病毒样本包 20251021 第281期

显示全部楼层 · 发表于 6 天前

X-Sec
扫描：28x

Targets:
---------------------
C:\Users\UnknownOoo\Downloads\新建文件夹
---------------------
2025/10/21 12:53:24 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\2025-10-20-0855.js -- [rame-cloud] Trojan.Runner/JS!8.125D2
2025/10/21 12:53:24 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\57shippingdocuments_ETD.bat -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.100
2025/10/21 12:53:25 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\2025-10-20-0923.js -- [rame-cloud] Trojan.Runner/JS!8.125D2
2025/10/21 12:53:26 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\air.ps1 -- [rame-cloud] Trojan.Agent/PS!8.1331B
2025/10/21 12:53:27 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\Bank Details Reconfirmation.jse -- [rame-cloud] Downloader.Generic!8.141
2025/10/21 12:53:28 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\cashhhh.ps1 -- [rame-cloud] Trojan.Agent/PS!8.1331B
2025/10/21 12:53:30 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\explorer.exe -- [rame-cloud] Trojan.Generic!8.C3
2025/10/21 12:53:31 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\New Order PO4500564358.exe -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.89
2025/10/21 12:53:31 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\MOJOCUMServer_Encrypted.jpg.ps1 -- [rame-cloud] Trojan.Agent/PS!8.1331B
2025/10/21 12:53:32 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\New_Order_Ningbo_Sunny_2025-10-20.pdf.jse -- [xave-classic] Suspicious:Malware.FakeExt
2025/10/21 12:53:32 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\New Purchase Order PO-4902134.js -- [rame-cloud] Downloader.Generic!8.141
2025/10/21 12:53:33 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\PI and payment confirmed.VBE.vbe -- [rame-topis] Dropper.Agent/VBS!8.12129
2025/10/21 12:53:33 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\PO9092893893.VBE.vbe -- [rame-topis] Dropper.Agent/VBS!8.12129
2025/10/21 12:53:35 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\qifei.exe -- [rame-cloud] Stealer.Agent!8.C2
2025/10/21 12:53:36 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\PO#008455.pif -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.82
2025/10/21 12:53:37 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\Quotation 4634-091724.exe -- [rame-cloud] Stealer.PureLogs!8.18F75
2025/10/21 12:53:37 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\rComprovantedep.exe -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.88
2025/10/21 12:53:37 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\RFQ 5767889546.exe -- [rame-classic] Trojan.Injector/Autoit!1.12EF0
2025/10/21 12:53:38 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\RFQ-T0519046573945.exe -- [rame-classic] Trojan.Injector/Autoit!1.12EF0
2025/10/21 12:53:39 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\rOrdendecompra_pdf.jse -- [rame-cloud] Downloader.Generic!8.141
2025/10/21 12:53:40 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\rPedidos_1001126_029881_412908_601222.jse -- [rame-topis] Downloader.Agent/JS!8.10EAD
2025/10/21 12:53:40 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\rOrdenes_1001126_029881_412908_601222.jse -- [rame-cloud] Downloader.Generic!8.141
2025/10/21 12:53:44 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\sirdee.ps1 -- [rame-cloud] Trojan.Agent/PS!8.1331B
2025/10/21 12:53:46 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\stein.ps1 -- [rame-cloud] Trojan.Agent/PS!8.1331B
2025/10/21 12:53:47 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\Transaction Summary_ LDA.exe -- [rame-classic] Trojan.Injector/Autoit!1.12EF0
2025/10/21 12:53:47 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\TT REQUISITION FOR $ 84,400.00GARDENIA WEARSINVOICE NO-4002025.bat -- [rame-rdm.msil2] Malware.Obfus/MSIL@AI.100
2025/10/21 12:53:47 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\SWIFT Ref No TT 00189330982.js -- [rame-cloud] Downloader.Generic!8.141
2025/10/21 12:53:49 Threat Detected: C:\Users\UnknownOoo\Downloads\新建文件夹\TT slip.js -- [rame-cloud] Downloader.Generic!8.141

复制代码

显示全部楼层 · 发表于 6 天前

一共36个样本。
纯扫描。
EIS（开双潜），剩3x
360企业安全云（所有引擎全开），剩18x

EIS+360，剩1x

显示全部楼层 · 发表于 6 天前

瑞星esm 解压kill 11x，没得空测双击了

显示全部楼层 · 发表于 6 天前

冰盾 kill10X

显示全部楼层 · 发表于 6 天前

本帖最后由 chenjiarong 于 2025-10-21 22:38 编辑

金山毒霸kill 28X
扫描时间：[2025-10-21 22:34:26]
扫描用时：[00:00:30]
扫描类型：自定义查杀
扫描文件总数：96
扫描速度：3文件/秒
发现威胁：28个
清除威胁：28个
=============================================
[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\rfq 5767889546.exe
类型：win64.trojan.injects.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\rfq-t0519046573945.exe
类型：win64.trojan.injects.gze.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\transaction summary_ lda.exe
类型：win64.trojan.injects.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\2025-10-20-0855.js
类型：win32.troj.undef.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\2025-10-20-0923.js
类型：win32.troj.undef.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\57shippingdocuments_etd.bat
类型：msil.trojan-psw.darkcloud.gen.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\air.ps1
类型：win32.troj.undef.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\bank details reconfirmation.jse
类型：script.trojan-downloader.generic.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\cashhhh.ps1
类型：win32.troj.undef.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\enquiry.js
类型：script.trojan.generic.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\explorer.exe
类型：win32.troj.unknown.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\mojocumserver_encrypted.jpg.ps1
类型：win32.troj.undef.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\new purchase order po-4902134.js
类型：script.trojan-downloader.generic.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\new_order_ningbo_sunny_2025-10-20.pdf.jse
类型：script.trojan-downloader.generic.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\pi and payment confirmed.vbe.vbe
类型：script.worm.generic.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\po9092893893.vbe.vbe
类型：script.worm.generic.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\quotation 4634-091724.exe
类型：win32.troj.unknown.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\rcomprovantedep.exe
类型：msil.trojan.taskun.gen.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\rordendecompra_pdf.jse
类型：script.trojan-downloader.generic.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\rordenes_1001126_029881_412908_601222.jse
类型：script.trojan-downloader.generic.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\rpedidos_1001126_029881_412908_601222.jse
类型：script.trojan-downloader.generic.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\sea.ps1
类型：win32.troj.undef.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\sirdee.ps1
类型：win32.troj.undef.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\slyxx.ps1
类型：win32.troj.undef.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\stein.ps1
类型：win32.troj.undef.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\swift ref no tt 00189330982.js
类型：script.trojan-downloader.generic.a.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\tt requisition for $ 84,400.00gardenia wearsinvoice no-4002025.bat
类型：msil.trojan-psw.darkcloud.gen.(kcloud)
处理方式：删除

[2025-10-21 22:35:11]
威胁：d:\download\测试包\新建文件夹 (2)\新建文件夹\tt slip.js
类型：script.trojan-downloader.generic.a.(kcloud)
处理方式：删除

显示全部楼层 · 发表于 6 天前

本帖最后由驭龙于 2025-10-21 23:25 编辑

Avira 2510 beta测试。

解压以后，监控杀23个样本，很多是algo引擎杀的。

扫描识别＋5，静态检测是28个样本被识别。

剩余样本逐个双击运行。

air样本，运行后PS报错，Sentry阻止内存池行为，没有杀本体，但样本无法运行成功。

enquiry样本运行后，Avira无反应，cmd自动退出，但后台启动PS，没有其他行为

MOJOCUMService样本，运行后PS报错，Sentry阻止内存池行为，没有杀本体，但样本无法运行成功。

sea样本，avira杀本体，报法是algo引擎的报法，不知道为什么扫描的时候没有删除这个文件。
日志上显示是触发PS进程，从而被Sentry发出警报
[Epp] [Detection] Name: "TR/Malware", Engine: "Scanner", File: "C:\Users\ltqi\Desktop\infected2025102101\新建文件夹\sea.ps1", AppName: "PowerShell_C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe_10.0.19041.1", ContentName: "", Duration: 3s, Actions:-cache/report/remed/sentry/alert

剩余三个S开头的样本都是运行后PS报错，Sentry阻止内存池行为，没有杀本体，但样本无法运行成功。

最后一个SWIFT样本，avira脚本引擎阻止威胁，删除本体。
实际上是云阻止的脚本运行：
[info] [BaseScan] [thread id: 6208] [ProtectionCloud] Detection by Protection Cloud: '{JS/AVI.Agent.a5be62} File: '\\?\C:\Users\ltqi\Desktop\infected2025102101\新建文件夹\SWIFT Ref No TT 00189330982.js'

Avira最终成绩是除了enquiry脚本样本没有响应，其他样本是30个被隔离，五个阻止运行行为。

果然algo立竿见影的提升Avira战力啊，很猛

显示全部楼层 · 发表于 5 天前

腾讯电脑管家 35X

显示全部楼层 · 发表于 5 天前

驭龙发表于 2025-10-21 23:17
Avira 2510 beta测试。

解压以后，监控杀23个样本，很多是algo引擎杀的。

哇塞~ 感觉avira要复活了~

显示全部楼层 · 发表于 5 天前

huawei 剩5x

显示全部楼层 · 发表于 5 天前

微微的笑发表于 2025-10-21 11:39
卡巴标准版
解压余24,

卡巴剩余两个，今天报毒。机器学习报启发

事件: 检测到恶意对象
用户: XZBL\Administrator
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果描述: 检测到
类型: 木马
名称: HEUR:Trojan.Script.SAgent.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: 2025-10-20-0855.js
对象路径: C:\Users\Administrator\Downloads\新建文件夹
对象的 MD5: ADD70DFCEF138B52BFE6FBDA551A462D
原因: 机器学习
数据库发布日期: 今天，2025/10/22 上午8:07:00

复制代码

事件: 检测到恶意对象
用户: XZBL\Administrator
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果描述: 检测到
类型: 木马
名称: HEUR:Trojan.Script.SAgent.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: 2025-10-20-0923.js
对象路径: C:\Users\Administrator\Downloads\新建文件夹
对象的 MD5: 8DBB8259B8A2E39F6B84019417D12816
原因: 机器学习
数据库发布日期: 今天，2025/10/22 下午1:07:00

复制代码

[病毒样本] 【开放测试】卡饭病毒样本包 20251021 第281期

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块