多特下载站高速下载器重新回归

wwwab

首先，该下载器无数字签名：

运行后会下载三份配置文件：
http://download.runjiapp.com/dtazq/da/cofig.7z
http://download.runjiapp.com/dtazq/getlist
http://download.runjiapp.com/dtazq/wb

其中，getlist用来检测和规避国内常见防病毒软件（通过进程文件名称，包含360安全卫士、360杀毒、腾讯电脑管家、金山毒霸、2345安全卫士、火绒安全软件、Windows defender），wb用来检测和规避网吧（通过网吧终端管理系统的进程文件名称）

getlist配置文件列表如下图所示：


wb配置文件列表如下图所示：


该下载器运行后会往%Temp%创建随机英文文件夹（6个英文字符）

随后往%Temp%与6个英文字符随机英文文件夹下下载Adware安装包

已知安装软件有：360全家桶、2345全家桶、快压、云记事本（CloudNotePad）、（WPS Office 2019）、（爱奇艺）等

其中，云记事本一言难尽，你以为这个下的只是WPS Office 2019的安装包？不，他是2345。你以为这个下的只是爱奇艺的安装包？不，他是2345

1. 风险路径：C:\Users\Administrator\AppData\Roaming\CloudNotePad\wpssetup_k07511_428112.exe, 病毒名：Adware/2345PackStat.a, 病毒ID：96e65a4486cb99c7, 处理结果：已处理，删除文件
   

复制代码

1. 风险路径：C:\Users\Administrator\AppData\Roaming\CloudNotePad\iqiyi_k07511_136368.exe, 病毒名：Adware/2345PackStat.a, 病毒ID：96e65a4486cb99c7, 处理结果：已处理，删除文件

复制代码

下载站：https://www.duote.com/dnb/323393.html?xllx

下载地址：https://soft.runjiapp.com/down/d ... E8%8B%B1_323393.exe

UNknownOoo

嗯，够流氓（
智量
扫描：Heur.ML.PE.B
双击：WIBD:HEUR.DiskWriter.A（？？？


信任后继续运行，衍生物1（TBEGCD.exe）报WIBD:HEUR.MalPersistence.D

123456aaaafsdeg

DeepGruad拦截

anxiety520

KES   Event: Malicious object detected
Application: __
User: DESKTOP-HNNI6UN\islyi
User type: Active user
Component: Behavior Detection
Result description: Detected
Type: Trojan
Name: PDM:Trojan.Win32.Generic
Threat level: High
Object type: Process
Object path: C:\Malware
Object name: 和平精英_323393.exe
Reason: Behavior analysis
Databases release date: Today, 2022/8/2 8:23:00
SHA256: 928DF663A7F84F37A47B709D74CB2A5F65134B6CCEA41C0E53973F1E6E2C2F18
MD5: 3200588F0AAFBBF8FF25767838ECC889

fzp070

卡巴斯基 扫描未检测到威胁

a233

AVG

kuroandsan

1. The file C:\Users\****\AppData\Roaming\IDM\DwnlData\***\-E5-92-8C-E5-B9-B3-E_121\-E5-92-8C-E5-B9-B3-E.exe is infected with Gen:Variant.Cerbu.121061 and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.

复制代码

anthonyqian

ESET  ;Win32/Duote.A 特洛伊木马 的变量

Hacker-云

下载杀

修杰一刀

360 1x