FakeAPP 5X

hsks

https://pan.huang1111.cn/s/Bbd7H6
https://www.123pan.com/s/FJUmjv-nSLN.html
https://f.wss.ink/f/d81no9ewk9h
有钱（

Baby小尧

卡巴静态全miss，双击clean all

1、样本：AIcoin.exe（双击后，快扫内存杀）事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: MEM:Trojan.Win32.Agent.gen
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: About.exe
对象路径: pmem:\C:\Users\1\AppData\Roaming\About
原因: 专家分析
数据库发布日期: 昨天，2024/1/23 下午9:07:00



2、样本：aicoinx64.exe
事件: 检测到恶意对象
应用程序: Setup Application
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
名称: PDM:HackTool.Win32.VBInject.a
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\1\Desktop\Xs
对象名称: aicoinx64.exe
原因: 行为分析
数据库发布日期: 昨天，2024/1/23 下午9:07:00
MD5: 1E5F38E89B5592179C80A0044523F8C6

3、样本：sky-32-64.msi
事件: 进程已终止
应用程序: Setup Application
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 进程已完成
威胁级别: 信息
对象类型: 文件
对象路径: C:\Users\1\AppData\Local\Temp\_ir_sf_temp_0
对象名称: irsetup.exe
MD5: 1E5F38E89B5592179C80A0044523F8C6


4、样本：todesk-setup.msi
事件: 检测到恶意对象
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
应用程序名称: dwm.exe
应用程序路径: C:\ProgramData\{4F3E835D-A302-4e25-B006-9Cxv50w5E647}\{37641EFA-05F7-4387-A697-10xv34w55080}
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.Agentb.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: {17E5042E-2D92-4029-9D28-EExvEDw5633D}.exe
对象路径: C:\ProgramData\{9CD26F61-02A9-49a3-934D-B4xvF4w54E1F}
对象的 MD5: 217DC98E219A340CB09915244C992A52
原因: 机器学习
数据库发布日期: 昨天，2024/1/23 下午9:07:00


5、样本：接码网站Apps.exe
事件: 进程已终止
应用程序: Yloux.exe
用户: DESKTOP-V7UPBEB\1
用户类型: 发起者
组件: 系统监控
结果说明: 已终止
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Windows\Runn
对象名称: Yloux.exe
MD5: FC9CA52E383CE6DCF0B76E9F9672705C

LSPLDD

BD双击4X:

AIcoin.exe
-->hxxps://sw-proxy.co.link/
線上威脅防護

aicoinx64.exe
-->hxxps://sw-proxy.co.link/
線上威脅防護

todesk-setup.msi
-->C:\ProgramData\zcsa\adDownload.dll
Gen:Trojan.Heur.TP.Gz9@biW5xOeb

接码网站Apps.exe
SuspiciousBehavior.C6932A9521FC2B19

无反应1X:

sky-32-64.msi (安装过程报错自退)





ESET静态2X:

接码网站Apps.exe
Win32/FlyStudio.Packed.AO

AIcoin.exe
Win32/GenKryptik.GSYH

双击1X:

aicoinx64.exe
-->hxxps://sw-proxy.co.link
内部黑名单

无反应2X:
todesk-setup.msi
sky-32-64.msi(安装过程报错自退)

祸兮福所倚

360-1X|Avast-2X|合计3X

hansyu

ESET 扫描2x
R:\TestBox\Xs\AIcoin.exe > ADVANCEDINSTALLER > setup-us1.cab > CAB > webres.dll - Win32/GenKryptik.GSYH 特洛伊木马 的变量
R:\TestBox\Xs\接码网站Apps.exe - Win32/FlyStudio.Packed.AO 潜在的不受欢迎应用程序 的变量

mmmaoo

江民静态检出3x：

hsks

https://twitter.com/shoucccc/status/1745342873103745172
一直追的一个新的aicoin（今天样本包里就有，aicoinX64.exe）被制裁过了

所以这系列样本最终目的是偷钱包的（


目前我这边监测到了3种不同的系列样本，一个是带有效EV数签的，一个就是这个偷钱包的，还有一个之前发的Setup.msi

hxxps://www.aicion.cn/Setup.msi
hxxps://a1co1n.oss-cn-hongkong.aliyuncs.com/aicoinx64.zip（WebUnion系列）
hxxps://aicou.oss-cn-hongkong.aliyuncs.com/AIcoin.zip（Iobit白加黑系列）

除了Setup.msi系列不怎么活跃，其它的系列家族都会定期投放新的一批钓鱼网站到谷歌广告

tdsskiller

hsks 发表于 2024-1-24 00:28
https://twitter.com/shoucccc/status/1745342873103745172
一直追的一个新的aicoin（今天样本包里就有，a ...

Iobit白加黑系列?

hsks

tdsskiller 发表于 2024-1-24 00:49
Iobit白加黑系列?

比如https://bbs.kafan.cn/thread-2265215-1-1.html

DisaPDB

火绒 实时1x

1. 病毒名称：TrojanDownloader/Agent.avq
   
2. 病毒ID：383F0D736218C4CD
   
3. 病毒路径：C:\Users\Administrator\Desktop\Xs\接码网站Apps.exe
   
4. 操作类型：修改
   
5. 操作结果：已处理，删除文件

复制代码

扫描2x

1. 病毒库时间：2024-01-20 15:59
   
2. 开始时间：2024-01-24 07:03
   
3. 总计用时：00:00:46
   
4. 扫描对象：808
   
5. 扫描文件：4
   
6. 发现风险：3
   
7. 已处理风险：3
   
8. 病毒详情：
   
9. 风险路径：C:\Users\Administrator\Desktop\Xs\sky-32-64.msi >> vbs, 病毒名：Trojan/Generic!E52496E454DF2CD4, 病毒ID：e52496e454df2cd4, 处理结果：已处理，删除文件
   
10. 风险路径：C:\Users\Administrator\Desktop\Xs\sky-32-64.msi >> lset.bat, 病毒名：Trojan/BAT.Starter.at, 病毒ID：060898d156c0c897, 处理结果：已处理，删除文件
    
11. 风险路径：C:\Users\Administrator\Desktop\Xs\todesk-setup.msi, 病毒名：Trojan/VBS.Maloader.a, 病毒ID：633dec088cc2d94d, 处理结果：已处理，删除文件
    

复制代码

AIcoin.exe 手动开启联网控制

aicoinx64.exe 持久化/外联