FakeAPP 9X

hsks

打算放假的时候简单对FakeAPP搞个总结

吐槽一下，各位FakeAPP，不要拿老payload，把payload塞进加密zip里，连starter脚本都不做免杀打个新msi包就去钓新鱼（
哦对了，咱能搞点新套路吗，包传来传去还是那几个老朋友（


火绒催促你们去做免杀，直接扫描kill all了（


https://www.123pan.com/s/FJUmjv-xKLN.html
https://pan.huang1111.cn/s/15DjIv

hansyu

我想说这些假应用的安装程序界面太不上心了，连软件名字都不舍得写完整，就专门骗小白是吧。

hsks

hansyu 发表于 2024-1-20 00:00
我想说这些假应用的安装程序界面太不上心了，连软件名字都不舍得写完整，就专门骗小白是吧。

骗会上谷歌的小白（

顺便一提，里面有的FakeAPP很明显不是针对“小白”的，比如接码APP，过滤APP（

UNknownOoo

火绒
扫描：8X

1. 已处理风险：9
   
2. 病毒详情：
   
3. 风险路径：C:\Users\UnknownOoo\Downloads\index\130FH1.exe, 病毒名：TrojanDownloader/Agent.avq, 病毒ID：383f0d736218c4cd, 处理结果：已处理，删除文件
   
4. 风险路径：C:\Users\UnknownOoo\Downloads\index\AMD_TUDOU-potato_X64.msi, 病毒名：Trojan/VBS.Maloader.a, 病毒ID：633dec088cc2d94d, 处理结果：已处理，删除文件
   
5. 风险路径：C:\Users\UnknownOoo\Downloads\index\AMD_WPS-office_win-X64.msi, 病毒名：Trojan/VBS.Maloader.a, 病毒ID：633dec088cc2d94d, 处理结果：已处理，删除文件
   
6. 风险路径：C:\Users\UnknownOoo\Downloads\index\Iineinset.msi >> a.bat, 病毒名：Trojan/BAT.Starter.at, 病毒ID：060898d156c0c897, 处理结果：已处理，删除文件
   
7. 风险路径：C:\Users\UnknownOoo\Downloads\index\PaoPao.msi >> WWStartupCtrl64.dll, 病毒名：Backdoor/Lotok.dhk, 病毒ID：41f59e09e9a85a58, 处理结果：已处理，删除文件
   
8. 风险路径：C:\Users\UnknownOoo\Downloads\index\TT-desk.msi >> GAA.exe, 病毒名：HEUR:TrojanDropper/HiJack.b, 病毒ID：7eaa440bea8faeb2, 处理结果：已处理，删除文件
   
9. 风险路径：C:\Users\UnknownOoo\Downloads\index\Youdao-fanyi-x64-2.1.msi >> upx.rar, 病毒名：Trojan/Generic!73375DD480EAC669, 病毒ID：73375dd480eac669, 处理结果：已处理，删除文件
   
10. 风险路径：C:\Users\UnknownOoo\Downloads\index\接码客户端.msi >> a.bat, 病毒名：Trojan/BAT.Starter.at, 病毒ID：060898d156c0c897, 处理结果：已处理，删除文件
    
11. 风险路径：C:\Users\UnknownOoo\Downloads\index\接码客户端.msi >> vbs, 病毒名：Trojan/Generic!E52496E454DF2CD4, 病毒ID：e52496e454df2cd4, 处理结果：已处理，删除文件

复制代码

运行：
Youdao-Fanyi-11.2.6.msi -> 特征捉衍生物

1. 病毒名称：Trojan/BAT.Starter.at
   
2. 病毒ID：060898D156C0C897
   
3. 病毒路径：C:\Users\Administrator\AppData\Roaming\YOUDAO\126.bat

复制代码

X-Sec
扫描：2X

1. ---------------------
   
2. 2024/01/20 00:01:50 Threat Detected: C:\Users\UnknownOoo\Downloads\index\TT-desk.msi -- [rame-tfe] Dropper.Dapato!8.2A2
   
3. 2024/01/20 00:02:33 Threat Detected: C:\Users\UnknownOoo\Downloads\index\Youdao-fanyi-x64-2.1.msi -- [rame-classic] Trojan.WDBypass/PS!1.EA04

复制代码

Baby小尧

卡巴扫描kill2x  双击kill7x。总计kill all

1、事件: 检测到恶意对象用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: UDS:Trojan-Downloader.Win32.Agent.xycdoy
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: 130FH1.exe
对象路径: C:\Users\1\Desktop\index
对象的 MD5: 20B16D01FB1CFBC943FFFA1581D8D55F
原因: 云保护

2、事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: VHO:Trojan.Win64.Kryptik.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: WWStartupCtrl64.dll
对象路径: C:\Users\1\Desktop\index\PaoPao.msi//disk1.cab//
对象的 MD5: 1A5E86C3B63E9FF0AAD1E288F372AE94
原因: 云保护

3、样本：AMD_TUDOU-potato_X64
事件: 进程已终止
应用程序: Windows® installer
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 已终止
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Windows\System32
对象名称: msiexec.exe
MD5: 411410EB4443CAED8AFAA9BE0E5E412E


4、AMD_WPS-office_win-X64
事件: 检测到恶意对象
应用程序: Windows® installer
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\Desktop\index
对象名称: AMD_WPS-office_win-X64.msi
原因: 行为分析
数据库发布日期: 昨天，2024/1/19 下午7:42:00
MD5: D184A44407EFD3FBDE8640A868F10113

5、样本：Iineinset
事件: 进程已终止
应用程序: Windows® installer
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 已终止
类型: 木马
名称: PDM:Trojan.Win32.Bazon.a
威胁级别: 高
对象类型: 进程
对象路径: C:\Windows\System32
对象名称: msiexec.exe
MD5: 954B907BA5EE33ADB10699F165C67C20

6、样本：TT-desk
事件: 进程已终止
应用程序: Sample
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 已终止
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\AppData\Roaming\TT-AS\telegram\tdata\emoji
对象名称: GAA.exe
MD5: C48FA83EF4DF4F739BE4BFA8CC680716


7、样本：Youdao-Fanyi-11.2.6
事件: 检测到恶意对象
应用程序: Windows® installer
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Bazon.a
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\Desktop\index
对象名称: Youdao-Fanyi-11.2.6.msi
原因: 行为分析
数据库发布日期: 昨天，2024/1/19 下午11:18:00
MD5: DB0B4E60855678967C75F889B808026B

8、样本：Youdao-fanyi-x64-2.1
事件: 检测到恶意对象
应用程序: Windows® installer
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\Desktop\index
对象名称: Youdao-fanyi-x64-2.1.msi
原因: 行为分析
数据库发布日期: 昨天，2024/1/19 下午11:18:00
MD5: F62C759B356B7AE4C41BDDB1FF777B91

9、样本：接码客户端
事件: 检测到恶意对象
应用程序: Windows® installer
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Bazon.a
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\Desktop\index
对象名称: 接码客户端.msi
原因: 行为分析
数据库发布日期: 昨天，2024/1/19 下午11:18:00
MD5: A76AB38BC51B41300A29E71C3A3D4B1E

hansyu

hsks 发表于 2024-1-20 00:01
骗会上谷歌的小白（

顺便一提，里面有的FakeAPP很明显不是针对“小白”的，比如接码APP，过滤APP（

不过说实话像美洽和泡泡这种，在我看到你们发假应用之前从来没听说过的这些软件，看来不是相关行业人员完全不了解。

Eset小粉絲

比如 1.zip
密码16s tiak.exe ？

hsks

Eset小粉絲 发表于 2024-1-20 00:27
比如 1.zip
密码16s tiak.exe ？

入库的杀软运行一下就报了

GDHJDSYDH

EIS扫描kill 5x，KFA扫描kill 1x，剩下的沙箱内双击PDM kill all

DisaPDB

123我的神 单线程跑到12m/s

360扫描2x

双击 AMD_TUDOU-potato_X64.msi

AMD_WPS-office_win-X64.msi 报错

暂时先测到这里（）