多线程下载器

zay365

从百度推广上找到的http://pcxz.landu2.cn/soft/3607.html
会在%Temp%/Soft/目录下释放多个1XXX.exe，多线程并发安装捆绑软件。
被安装的软件非常多，有的同一类的软件被装了好几个，这作者同时赚了好几家的钱啊。
360，智量kill

火绒不知道是怎么回事，一开始下载时报毒，当时我还在想火绒不是不报下载器的吗，应该是误报吧，结果过一会又不报了。
病毒库在下载前就更新到了最新的2019-07-26 17:17，火绒又没有云，所以这个现象很离奇。

1. 操作者：C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe
   
2. 病毒路径：D:\360安全浏览器下载\万能播放器@893@3607.exe
   
3. 病毒名称：HEUR:Trojan/HVM03.d
   
4. 病毒ID：BDEBEDAC545ED26A
   
5. 用户操作：已清除
   
6. 操作者：C:\Program Files (x86)\360\360safe583911\360Safe\ipc\360BoxLd64.exe
   
7. 病毒路径：D:\360安全浏览器下载\万能播放器@893@3607.exe
   
8. 病毒名称：HEUR:Trojan/HVM03.d
   
9. 病毒ID：BDEBEDAC545ED26A
   
10. 用户操作：已信任
    
11. 操作者：C:\Program Files (x86)\360\360safe583911\360Safe\ipc\360BoxLd64.exe
    
12. 病毒路径：D:\360安全浏览器下载\万能播放器@893@3607.exe
    
13. 病毒名称：HEUR:Trojan/HVM03.d
    
14. 病毒ID：BDEBEDAC545ED26A
    
15. 用户操作：已信任
    

复制代码

j2016

下载后sep秒

a233

jdsh

Edge不让下

温馨小屋

卡巴


27.07.2019 13.16.43;检测到的对象 ( 文件 ) 已删除;C:\Users\zry980321\Downloads\Programs\万能播放器@893@3607.exe;C:\Users\zry980321\Downloads\Programs\万能播放器@893@3607.exe;HEUR:Trojan.Win32.Generic



UPX加壳后

27.07.2019 13.19.19;检测到的对象 ( 文件 ) 已删除;C:\Users\zry980321\Downloads\Programs\万能播放器@893@3607.exe;C:\Users\zry980321\Downloads\Programs\万能播放器@893@3607.exe;not-a-virus:VHO:AdWare.Win32.Agent.gen



扫描期间卡巴崩溃






加了VMProtect壳，终于过掉扫描了

PDM杀了所有释放的数字文件，但是并没有触发回滚，留下了一堆垃圾，之后虚拟机广告不断地弹。。。




这才几分钟，刚加了VMP壳的样本被UDS入库了。。。

a233

我看到日志里有“用户操作：已信任”。。

zay365

a233 发表于 2019-7-27 13:20
我看到日志里有“用户操作：已信任”。。

我已经移除信任了，前两次移除后会报，第三次就不报了

温馨小屋

BD
刚点完安装就被杀了

c/mm

Dr.web

静影沉璧