【开放测试】卡饭病毒样本包 20260120 第282期

wwwab

当前共提供3种下载链接：
下载1: https://pan.huang1111.cn/s/G8VxMTW 访问密码:14062849
下载2: https://qfile.qq.com/q/ONw2KtNqQS 有效期:14days
下载3: https://c.wss.ink/f/izlckawbk11 访问密码:14062849 有效期:24h

压缩包SHA-256: 983d401eb0f7861c5db3490f40dda22495c5fbaaeb519ce3c49ba79195da2b4b

样本数量: 32 (单位: 个)

当前测试阶段：开放测试

注意事项

1. 占楼后2小时内未能给出测试结果的，视为灌水，按照论坛规定处理。
2. 如有其他违规行为，按照论坛相关规定处理。

温馨提示与免责声明

样本仅供学习、研究、测试用途，测试前您应知晓样本可能具有威胁您的计算机安全的风险，下载即代表您应自行承担相应带来的所有风险。

Jerry.Lin

自制火绒扫描器
11/32

Yjln

best 仅扫描kill10

B100D1E55

初扫剩余7个（没触发ELG上报）：


ConsoleApplication1.exe：应该是个jokeware没杀
DATA SHEET.dwg：运行几分钟组装PowerShell/TrojanDownloader.Agent.MFN被查杀
f5tQMqM0pyzC：触发内存启发杀Win32/Farfli.DCO，但是清除失败
installer1.exe：运行后触发Win32/Agent.AIED文件查杀
qoNMAyNofN：没反应，目标ip我环境没联通 45<.>204<.>208<.>185 端口6666
TencentMeeting：双击查杀银狐Win32/TrojanDropper.Agent.TAN
verify.hta：下载器，下载物被查杀PowerShell/TrojanDownloader.Agent.ORI

清除失败的样本当作miss的话最终剩余3x

Norden_Ljus

卡巴斯基标准版：查杀完后文件夹内剩余5项（查杀率27/32；84%）

联想电脑管家只找到9个（查杀率9/32；28%）

petr0vic

drweb
8/32

AMD_Ryzen

BEST
解压14x（3x云拉黑，Order No. 2467.docx隔离了恶意载荷，未隔离本体）


双击测试（沙盒设置为阻止模式）：

1. 2025_年度各企业单位违规违纪人员名单自查询.exe          触发沙盒分析，之后沙盒kill
   
2. CONFERMA_PAGAMENTO_TRANSAZIONE_COMPLETATA_800034.JS  拦截命令行，随后云拉黑杀（？这什么逻辑，跑起来以后才云杀）
   
3. ConsoleApplication1.exe     疑似Jokeware（显示一个勒索界面，但是没啥行为），不报
   
4. DATA SHEET.dwg.js     拦截命令行
   
5. f5tQMqM0pyzC.exe      安装过程中杀衍生物PhotoAcc.dll + ATC
   
6. googlems.exe      安装过程中杀衍生物
   
7. ilCDsTh.exe        双击云拉黑
   
8. INQ 69673=0756677-NN-O-0206-RFQ#2504767-PR-0576-2026.hta      拦截对https://kolanga.cc/的访问
   
9. installer1.exe      ATC杀
   
10. items CP0000034459 .dwg.js       拦截命令行，随后云拉黑杀
    
11. jfvkjXF.exe         双击云拉黑
    
12. Pedido PC251216364pdf                     .vb.vbs                 拦截命令行，随后云拉黑杀
    
13. qoNMAyNofN.exe        触发沙盒分析，沙盒miss，双击ATC杀
    
14. S0.G0uEXplOr.Setup.6.1.3.exe         安装过程中杀衍生物
    
15. skuld.exe          触发沙盒分析，之后沙盒kill
    
16. TencentttMeeti5681.exe           安装过程中杀衍生物
    
17. verify.hta         双击无法运行，提示脚本发生错误
    
18. x.bat             拦截命令行

复制代码

总结：剩余1x无法运行（verify.hta），1x 疑似Jokeware（ConsoleApplication1.exe）

其中有几个运行以后先拦截命令行，然后再云拉黑杀，这逻辑第一次见，有点奇怪

莒县小哥

卡巴免费版  剩下4枚

微微的笑

AVG/
2026年1月20日16:30复测：
1.扫描kill 26x，剩余6x，81.25%查杀率。
2.第一次测试的动态miss的2个，一个扫描杀，另一个miss，96.875‬%查杀率。

首测：1.解压监控kill 13x，剩余19x。40.625%查杀率。
2.扫描+8x，剩余11x。65.625%查杀率。
3.虚拟机双击+9x（其中7x杀本体，2x杀衍生物），剩余2x。93.75%查杀率。
4.剩余样本截图：

5.双击实测图：

Myrenaser

ESSP
解压剩8个，扫描：

扫描日志
检测引擎的版本: 32550 (20260119)
日期: 2026/1/20  时间: 9:21:36
已扫描的磁盘、文件夹和文件: C:\Users\Administrator\Desktop\新建文件夹\2025_年度各企业单位违规违纪人员名单自查询.exe;C:\Users\Administrator\Desktop\新建文件夹\ConsoleApplication1.exe;C:\Users\Administrator\Desktop\新建文件夹\DATA SHEET.dwg.js;C:\Users\Administrator\Desktop\新建文件夹\f5tQMqM0pyzC.exe;C:\Users\Administrator\Desktop\新建文件夹\installer1.exe;C:\Users\Administrator\Desktop\新建文件夹\qoNMAyNofN.exe;C:\Users\Administrator\Desktop\新建文件夹\TencentttMeeti5681.exe;C:\Users\Administrator\Desktop\新建文件夹\verify.hta
用户: WIN-HUBI6NANDDB\Administrator
C:\Users\Administrator\Desktop\新建文件夹\2025_年度各企业单位违规违纪人员名单自查询.exe - ML/Augur 特洛伊木马 - 已保留
C:\Users\Administrator\Desktop\新建文件夹\installer1.exe > NSIS > apbUP.dll - Win32/Agent.AIED 特洛伊木马 的变量 - 已通过删除清除 [1]
C:\Users\Administrator\Desktop\新建文件夹\installer1.exe > NSIS > lnte.exe > NSIS > Script.nsi - MSIL/Lets[过滤].A 潜在的不受欢迎应用程序 - 已通过删除清除 [1]
C:\Users\Administrator\Desktop\新建文件夹\TencentttMeeti5681.exe > WINRARSFX > II-13.exe > INNO > file0000.bin - Win64/Agent.IBD 特洛伊木马 - 已通过删除清除 [1]
C:\Users\Administrator\Desktop\新建文件夹\TencentttMeeti5681.exe > WINRARSFX > II-13.exe > INNO - Win32/TrojanDropper.Agent.TAN 特洛伊木马 的变量 - 已通过删除清除 [1]
C:\Users\Administrator\Desktop\新建文件夹\TencentttMeeti5681.exe > WINRARSFX > II-4.exe > INNO - Win32/TrojanDropper.Agent.TAN 特洛伊木马 的变量 - 已通过删除清除 [1]

已扫描的对象数: 9761
检测数: 6
已清除的对象数: 5
完成时间: 9:22:17  总扫描时间: 41 秒 (00:00:41)

备注:
[1] 由于对象中仅包含病毒主体，因此已被删除。