25X（内有银狐样本,还有一CS）

hsks

第一眼：Adware，不收
第二眼：在Adware里塞了白加黑（

360搜索再次惨遭投毒


https://wormhole.app/vvbpk#UtGlrYXVrGN-o28H4Dw5bg
https://www.123pan.com/s/FJUmjv-zN6N
https://pan.huang1111.cn/s/LxX6Et6
https://pan.xiaomuxi.cn/s/jLV6Hl

莒县小哥

WD杀15枚

呵呵大神001

IK

ongarabazanade

360杀毒扫描2X+监控杀2X=4X，实机没敢双击

UNknownOoo

火绒
扫描：捉14x（剩下12x

1. 病毒库时间：2024-08-31 15:55
   
2. 开始时间：2024-08-31 21:43
   
3. 总计用时：00:00:38
   
4. 扫描对象：9196
   
5. 扫描文件：25
   
6. 发现风险：14
   
7. 已处理风险：0
   
8. 病毒详情：
   
9. 风险路径：C:\Users\Administrator\Desktop\25\ddd.exe, 病毒名：TrojanDownloader/Lotok.bo, 病毒ID：542e69f5ec473771, 处理结果：暂不处理
   
10. 风险路径：C:\Users\Administrator\Desktop\25\GPT_Chorme_install.exe, 病毒名：HEUR:Backdoor/Lotok.bb, 病毒ID：d46826b55974cb62, 处理结果：暂不处理
    
11. 风险路径：C:\Users\Administrator\Desktop\25\GoogleSetup.msi >> rules.conf, 病毒名：Backdoor/Farfli.lj, 病毒ID：c41418e0e939d95d, 处理结果：暂不处理
    
12. 风险路径：C:\Users\Administrator\Desktop\25\GoogleChormeSetup.msi >> keymaping.log, 病毒名：Backdoor/Farfli.lj, 病毒ID：c41418e0e939d95d, 处理结果：暂不处理
    
13. 风险路径：C:\Users\Administrator\Desktop\25\KLL.exe, 病毒名：Trojan/Injector.bsm, 病毒ID：eae78288c80f8c04, 处理结果：暂不处理
    
14. 风险路径：C:\Users\Administrator\Desktop\25\klimd.exe, 病毒名：HEUR:Backdoor/Lotok.bb, 病毒ID：d46826b55974cb62, 处理结果：暂不处理
    
15. 风险路径：C:\Users\Administrator\Desktop\25\PlaneGame .exe, 病毒名：HEUR:Backdoor/Lotok.bb, 病毒ID：d46826b55974cb62, 处理结果：暂不处理
    
16. 风险路径：C:\Users\Administrator\Desktop\25\UCK.exe, 病毒名：TrojanDownloader/Maloader.o, 病毒ID：c9840b021be42302, 处理结果：暂不处理
    
17. 风险路径：C:\Users\Administrator\Desktop\25\UCK_1.exe, 病毒名：TrojanDownloader/Maloader.o, 病毒ID：c9840b021be42302, 处理结果：暂不处理
    
18. 风险路径：C:\Users\Administrator\Desktop\25\win_yiwaiwai-A9.exe, 病毒名：Trojan/BAT.Starter.cc, 病毒ID：ce4a927298222e84, 处理结果：暂不处理
    
19. 风险路径：C:\Users\Administrator\Desktop\25\WPS_Setup_12.1.0.msi >> Installer.exe, 病毒名：TrojanDownloader/Agent.aqy, 病毒ID：fe22d5b12ca9846f, 处理结果：暂不处理
    
20. 风险路径：C:\Users\Administrator\Desktop\25\WPS_Setup_12.1.0.msi >> FileSyncEvents.dll, 病毒名：Trojan/HiJack.fi, 病毒ID：c7dd35c6e1b48bbf, 处理结果：暂不处理
    
21. 风险路径：C:\Users\Administrator\Desktop\25\ZH-Kuai[过滤]-19.exe, 病毒名：Trojan/BAT.Starter.ce, 病毒ID：e8f565ceb7fab691, 处理结果：暂不处理
    
22. 风险路径：C:\Users\Administrator\Desktop\25\ZFJ_ZH_Desktop_1.0.3.exe, 病毒名：Trojan/BAT.Starter.ce, 病毒ID：e8f565ceb7fab691, 处理结果：暂不处理

复制代码

剩余运行：
Chrome_install.exe ->衍生物有注入explorer的行为，但是本地只能跑出explorer进程报错退出的情况（


Ddess_kto_Sseetupp_ZH_6.0.1.exe -> 手动内存扫描捉（进步了，把Lotok.ei特征过了）

1. 病毒详情：
   
2. 风险路径：mem://7872-0x42e61dfb-0x1f589e20000-C:\Windows\svbonxh3\svbonxh3.exe, 病毒名：TrojanSpy/Keylogger.cs, 病毒ID：072caaa65bc186ab, 处理结果：处理成功，进程已结束

复制代码

Gatherum Setup.exe -> MISS

google  chrom -seguop.exe -> MISS


Installer.exe -> MISS（但没看到外联？）




Installer.msi -> 重启后火绒被摸碎（


kuailian[过滤]setup.exe -> 内存防护捉

1. 病毒名称：Backdoor/CobaltStrike.l
   
2. 病毒ID：7E662B652271E28F
   
3. 虚拟地址：0x0000000004910000
   
4. 映像大小：1.2MB
   
5. 是否完整映像：否
   
6. 数据流哈希：6ee0cd4
   
7. 操作结果：已处理
   
8. 进程ID：7976
   
9. 操作进程：C:\Windows\SysWOW64\regsvr32.exe
   
10. 操作进程命令行：Regsvr32.exe
    
11. 父进程ID：9600
    
12. 父进程：C:\ProgramData\Intel\runshelldraw_x86.exe
    
13. 父进程命令行："C:\ProgramData\Intel\runshelldraw_x86.exe"

复制代码

Launcher.exe -> 可能的环境检测（？

quickqSetup.msi -> 环境检测


Sleipnir_Setup.exe -> 环境检测


WPS.exe -> 手动内存扫描捉

1. 病毒详情：
   
2. 风险路径：mem://1048-0xaff9c2fa-0x25759ad0000-C:\Windows\jebfuidrx9\jebfuidrx9.exe, 病毒名：TrojanSpy/Keylogger.cs, 病毒ID：072caaa65bc186ab, 处理结果：处理成功，进程已结束
   
3. 风险路径：mem://9156-0xb1083917-0x22b033f0000-C:\Windows\jebfuidrx9\jebfuidrx9.exe, 病毒名：TrojanSpy/Keylogger.cs, 病毒ID：072caaa65bc186ab, 处理结果：处理成功，进程已结束
   

复制代码

youdaoYY-fanyi.exe -> 特征捉衍生物

1. 病毒名称：Trojan/HiJack.hb
   
2. 病毒ID：1E80486F157A524E
   
3. 病毒路径：C:\Users\Default\Desktop\VhGIQPCDTVGC\WHelp.dll
   
4. 操作类型：修改
   
5. 操作结果：已处理，删除文件
   

复制代码

hsks

大家再等个个把小时，周末黑产基本都摸了（

877906025Z

江民埋了吧，3/25真就是一点不管fakeapp

ninjagaocc

Avast解压缩后24x
查杀后剩12x
按Avast的提示重启后又手动扫描了2次
最终结果仍为 12x

Kingbatsoft

ESET
双击安装22x（某些没有行为可能是系统问题） 1missed （Gatherum Setup.exe）
1.Chrome_install.exe


1. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
2. 2024/8/31 22:34:53;文件系统实时防护;文件;C:\Program Files (x86)\ChatAI Chrome\1.0.5.0\d3dcompiler_46.dll;Win32/Packed.VMProtect.BC 可疑应用程序 的变量;已通过删除清除;DESKTOP-VOL7CAS\Administrator;在通过应用程序创建的新文件上发生了事件: C:\Users\Administrator\Desktop\infected\Chrome_install.exe (C4AB90438B9939D5A12A7935E5677FE3BC498782).;F620B8800BC86E0715EC2F8639BA7D93B007AF24;2024/8/28 12:16:04

复制代码

2.Ddess_kto_Sseetupp_ZH_6.0.1.exe

1. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
2. 2024/8/31 22:36:40;文件系统实时防护;文件;C:\Users\Administrator\AppData\Local\Programs\wppisnp\is-6C7D1.tmp;Win64/Packed.VMProtect.X 可疑应用程序 的变量;已通过删除清除;DESKTOP-VOL7CAS\Administrator;在通过应用程序创建的新文件上发生了事件: C:\Users\Administrator\AppData\Local\Temp\is-6IFK0.tmp\Ddess_kto_Sseetupp_ZH_6.0.1.tmp (881B4715CA73A7F100E9A1CD7FEC34F1548B1FB6).;5B134EF1B7313013579C984B06131983858C14A2;2024/8/31 22:36:36
   
3. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
4. 2024/8/31 22:37:42;文件系统实时防护;文件;C:\Users\Administrator\AppData\Local\Programs\wppisnp\insetuptool\officetoolManager\WpsOffice\Protect\is-JF6IN.tmp;Suspicious Object;已通过删除清除;DESKTOP-VOL7CAS\Administrator;在通过应用程序创建的新文件上发生了事件: C:\Users\Administrator\AppData\Local\Temp\is-6IFK0.tmp\Ddess_kto_Sseetupp_ZH_6.0.1.tmp (881B4715CA73A7F100E9A1CD7FEC34F1548B1FB6).;7FA1B9447C61A76280A88D00E8EF451D288D1F56;2024/8/31 22:37:38
   
5. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
6. 2024/8/31 22:37:43;文件系统实时防护;文件;C:\Users\Administrator\AppData\Local\Programs\wppisnp\insetuptool\officetoolManager\WpsOffice\Protect\is-S0PSC.tmp;Suspicious Object;已通过删除清除;DESKTOP-VOL7CAS\Administrator;在通过应用程序创建的新文件上发生了事件: C:\Users\Administrator\AppData\Local\Temp\is-6IFK0.tmp\Ddess_kto_Sseetupp_ZH_6.0.1.tmp (881B4715CA73A7F100E9A1CD7FEC34F1548B1FB6).;5D19D7A10C55A5D9AE6103EDB7E0AE4C49F4B408;2024/8/31 22:37:38
   
7. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
8. 2024/8/31 22:37:52;文件系统实时防护;文件;C:\Users\Administrator\AppData\Local\Programs\wppisnp\insetuptool\officetoolManager\WpsOffice\PdfEditor\is-3ADJ4.tmp;ML/Augur 潜在的不受欢迎应用程序;已保留;DESKTOP-VOL7CAS\Administrator;在通过应用程序创建的新文件上发生了事件: C:\Users\Administrator\AppData\Local\Temp\is-6IFK0.tmp\Ddess_kto_Sseetupp_ZH_6.0.1.tmp (881B4715CA73A7F100E9A1CD7FEC34F1548B1FB6).;7FA8C75FC0DFF33D8B4A6FA2CE7F166B4DA542EA;2024/8/31 22:37:37
   
9. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
10. 2024/8/31 22:37:56;文件系统实时防护;文件;C:\Users\Administrator\AppData\Local\Programs\wppisnp\insetuptool\officetoolManager\WpsOffice\Protect\is-A20MI.tmp;Win32/2345_AGen.A 潜在的不受欢迎应用程序 的变量;已保留;DESKTOP-VOL7CAS\Administrator;在通过应用程序创建的新文件上发生了事件: C:\Users\Administrator\AppData\Local\Temp\is-6IFK0.tmp\Ddess_kto_Sseetupp_ZH_6.0.1.tmp (881B4715CA73A7F100E9A1CD7FEC34F1548B1FB6).;456F7BAC91803A9233946ADB9CE83712368B1615;2024/8/31 22:37:38

复制代码

3.Gatherum Setup.exe
没有拦截

**超长度了** 剩下的放附件

hhjjjjjj123

https://opentip.kaspersky.com/DB ... /results?tab=upload
https://opentip.kaspersky.com/29 ... /results?tab=upload
https://opentip.kaspersky.com/36 ... /results?tab=upload
https://opentip.kaspersky.com/C5 ... /results?tab=upload
https://opentip.kaspersky.com/68 ... /results?tab=upload

https://www.virustotal.com/gui/f ... d2b58dd23?nocache=1
VirusTotal - File - 22b2b26bd91e5c22d983b49bef7c0de48f6d6c509d88a83c67ebd90b519a1d24
最后两个最大的0检出