FakeAPP 13X

hsks

某阿里巴巴白加黑downloader新近的AceTracer白加黑还有webprocess白加黑dropper给我把免杀跟上（恼）
其实AceTracer白加黑火绒貌似入的是msi dropper的特征（

这波火绒杀疯了
https://pan.huang1111.cn/s/WNzaf3
https://www.123pan.com/s/FJUmjv-ZCLN.html
https://f.wss.ink/f/d420ljjnchl
https://share.weiyun.com/6j6DCQRS
https://cloud.rhinelab.io/s/5BIQ

UNknownOoo

火绒
扫描：12X

1. 扫描文件：13
   
2. 发现风险：12
   
3. 已处理风险：12
   
4. 病毒详情：
   
5. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\Aicoin.msi >> DataState.dll, 病毒名：Backdoor/Lotok.dhk, 病毒ID：33cef734e64d96d5, 处理结果：已处理，删除文件
   
6. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\ji-CS-f-1 .msi, 病毒名：HEUR:TrojanDropper/HiJack.b, 病毒ID：7eaa440bea8faeb2, 处理结果：已处理，删除文件
   
7. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\jiemammofeiapp.exe, 病毒名：TrojanDownloader/Agent.avq, 病毒ID：383f0d736218c4cd, 处理结果：已处理，删除文件
   
8. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\jiemawangzhan.exe, 病毒名：TrojanDownloader/Agent.avq, 病毒ID：383f0d736218c4cd, 处理结果：已处理，删除文件
   
9. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\MeiqiaWinLatest3.6.8.msi, 病毒名：Trojan/VBS.Maloader.a, 病毒ID：633dec088cc2d94d, 处理结果：已处理，删除文件
   
10. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\middis021.msi >> bat, 病毒名：Trojan/BAT.Starter.at, 病毒ID：060898d156c0c897, 处理结果：已处理，删除文件
    
11. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\Potato-beta.msi >> webr.exe, 病毒名：HEUR:TrojanDropper/HiJack.a, 病毒ID：d526d9184116e39b, 处理结果：已处理，删除文件
    
12. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\sogou_pinyin_guanwang_13.11a.msi, 病毒名：Trojan/VBS.Maloader.a, 病毒ID：633dec088cc2d94d, 处理结果：已处理，删除文件
    
13. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\TH-desktop.msi, 病毒名：HEUR:TrojanDropper/HiJack.a, 病毒ID：d526d9184116e39b, 处理结果：已处理，删除文件
    
14. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\X64-setup.msi >> inspectiontn.exe, 病毒名：Backdoor/Lotok.w, 病毒ID：d4e76df9065a4b6e, 处理结果：已处理，删除文件
    
15. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\xiuxiu64_-setup.msi >> windowsupdata.msi, 病毒名：Trojan/KillAV.au, 病毒ID：0078da0c83b00511, 处理结果：已处理，删除文件
    
16. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\YoudaoDict5.7.0.msi, 病毒名：Trojan/VBS.Maloader.a, 病毒ID：633dec088cc2d94d, 处理结果：已处理，删除文件

复制代码

运行：
mh.exe -> 特征捉衍生物

1. 病毒名称：HEUR:TrojanSpy/ClipBanker.c
   
2. 病毒ID：EAC2F81F86C2B1A9
   
3. 病毒路径：C:\Users\Public\Downloads\ZTXClientn.exe

复制代码

X-Sec
扫描：3X

1. ---------------------
   
2. 2024/01/10 00:21:21 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\ji-CS-f-1 .msi -- [rame-tfe] Dropper.Dapato!8.2A2
   
3. 2024/01/10 00:21:33 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\Aicoin.msi -- [xave-cloud] Trojan.Generic
   
4. 2024/01/10 00:21:59 Threat Detected: C:\Users\UnknownOoo\Downloads\Compressed\FakeAPPS\Potato-beta.msi -- [rame-tfe] Downloader.Zenlod!8.11663

复制代码

Baby小尧

ESET 扫描kill 12x，剩下的Aicoin 双击miss 但是经典的VT上杀，简中不杀

祸兮福所倚

Avast解压清除2X|查杀清除4X|合计6X|剩余7个双击拦截无法运行

神龟Turmi

Baby小尧 发表于 2024-1-10 00:30
ESET 扫描kill 12x，剩下的Aicoin 双击miss 但是经典的VT上杀，简中不杀

BlackMoon也是FlyStudio相关的报法（易语言黑月编译器）
可能和其他FlyStudio报法一样故意在简中版削弱或移除了 算是意料之中吧

LSPLDD

BD

静态:
mh.exe
middis021.msi
Potato-beta.msi

双击:
jiemammofeiapp.exe
jiemawangzhan.exe
Aicoin.msi (外链)
ji-CS-f-1 .msi (衍生)
MeiqiaWinLatest3.6.8.msi (衍生)
TH-desktop.msi (衍生)
X64-setup.msi (衍生)
xiuxiu64_-setup.msi (衍生)

无反应:
sogou_pinyin_guanwang_13.11a.msi
YoudaoDict5.7.0.msi

Elastic

静态:
jiemammofeiapp.exe
mh.exe
jiemawangzhan.exe

双击:
Aicoin.msi (衍生)
ji-CS-f-1 .msi (衍生)
MeiqiaWinLatest3.6.8.msi (衍生)
Potato-beta.msi (衍生)
TH-desktop.msi (衍生)
xiuxiu64_-setup.msi (衍生)

无反应:
middis021.msi
sogou_pinyin_guanwang_13.11a.msi
X64-setup.msi
YoudaoDict5.7.0.msi
日志不统计了，哪个有疑问单独提吧 摆烂证.jpg

GDHJDSYDH

KFA扫描（启发拉满）剩余6x，沙箱内双击运行PDM击杀3x，剩下的miss 1x，其中2x报错自退

心醉咖啡

360

莒县小哥

DisaPDB

S  B  3  6  0