fake app2x

zhuzhu009

https://x.ws28.cn/f/fkrtvsbp8kq 复制链接到浏览器打开
https://pan.huang1111.cn/s/byzM9HY

1. https://xiangrikuiyuancheng.com/
   
2. https://firefsoix.com/

复制代码

VirusTotal - File - ee22a33a12ce716f9f1ed33f0a1cb37897f6b39699739471749579dce3e8267d
VirusTotal - File - 74d262ee10cf2c888452610eef0cf51f375ba6c0d027a12329f6ea82e9bc8729

xmt12

3分钟，热乎的

1. XAS扫描日志
   
2. 扫描开始时间:2024/11/15 19:24:07
   
3. 
   
4. 主程序版本:3.0.3 病毒库版本:17719(2024.11.15)
   
5. 特征库个数：17355
   
6. 黑md5个数：2332415
   
7. 白md5个数：150459
   
8. 
   
9. 危险文件:
   
10. ---------
    
11. 
    
12. D:/用户文件/2/桌面/fake2x\74d262ee10cf2c888452610eef0cf51f375ba6c0d027a12329f6ea82e9bc8729.msi[msi查杀引擎][ziplib.dll -> HEUR/Trojan.FalseSign]
    
13. D:/用户文件/2/桌面/fake2x\ee22a33a12ce716f9f1ed33f0a1cb37897f6b39699739471749579dce3e8267d.exe[特征引擎][Trojan.Generic!id=328CAA78]
    
14. 
    
15. 总文件数:2
    
16. 病毒文件个数:2
    
17. 查杀率:100.0%
    
18. 扫描结束时间:2024/11/15 19:24:30

复制代码

UNknownOoo

火绒
扫描：ALL

1. 扫描文件：2
   
2. 发现风险：2
   
3. 已处理风险：0
   
4. 病毒详情：
   
5. 风险路径：C:\Users\UnknownOoo\Downloads\74d262ee10cf2c888452610eef0cf51f375ba6c0d027a12329f6ea82e9bc8729.msi >> ziplib.dll, 病毒名：Trojan/Runner.bp, 病毒ID：807704dd4879f029, 处理结果：暂不处理
   
6. 风险路径：C:\Users\UnknownOoo\Downloads\ee22a33a12ce716f9f1ed33f0a1cb37897f6b39699739471749579dce3e8267d.exe, 病毒名：Trojan/HiJack.kd, 病毒ID：54300791ad702505, 处理结果：暂不处理
   

复制代码

ajkwbubnap

卡巴斯基kill

453125415

360 miss

lovehhsw

ee22a33a12ce716f9f1ed33f0a1cb37897f6b39699739471749579dce3e8267d.exe

360双击miss

卡巴双击kill1x（KSN不受信任）
事件: 回滚已完成 应用程序: Firefox Setup 用户: IZYKQTB0JL6KIGZ\Administrator 用户类型: 发起者 组件: 行为检测 结果说明: 应用程序操作回滚 类型: 木马 名称: PDM:Trojan.Win32.Bazon.a 威胁级别: 信息 对象类型: 进程 对象路径: C:\Users\Administrator\Downloads\fake2x 对象名称: ee22a33a12ce716f9f1ed33f0a1cb37897f6b39699739471749579dce3e8267d.exe


74D262EE10CF2C888452610EEF0CF51F375BA6C0D027A12329F6EA82E9BC8729.exe
卡巴kill衍生物2x



360拦截行为2x

时间        操作        说明        次数
2024-11-15 20:18:48        [已阻止]          进程创建        防护 1 次
详细描述：
进程：C:\Windows\explorer.exe
动作：进程创建
路径：C:\Windows\System32\msiexec.exe
风险文件：C:\Users\Administrator\Downloads\fake2x\74d262ee10cf2c888452610eef0cf51f375ba6c0d027a12329f6ea82e9bc8729.msi
拦截补充描述：网购模式采用最高防护等级，运行未经360安全中心认证的程序时都会提示，让您网购时减少被盗号的风险。如果您不认识此程序，请阻止。

防护信息: AD|14, 58|10, 10, 40||



时间        操作        说明        次数
2024-11-15 20:12:57        [已阻止]          动态链接库劫持        防护 1 次
详细描述：
进程：C:\Windows\System32\msiexec.exe
动作：动态链接库劫持
路径：C:\Users\Administrator\8096FF6F-D44A-4837-B669-00008D39B793\down.exe
风险文件：C:\Users\Administrator\8096FF6F-D44A-4837-B669-00008D39B793\libcef.dll
拦截补充描述：网购模式采用最高防护等级，运行未经360安全中心认证的程序时都会提示，让您网购时减少被盗号的风险。如果您不认识此程序，请阻止。

防护信息: AD|42, 10007|10, 10, 40||

LTSC1809

lovehhsw 发表于 2024-11-15 19:39
卡巴双击kill1x KSN不受信任
事件: 回滚已完成 应用程序: Firefox Setup 用户: IZYKQTB0JL6KIGZ\Administr ...

Bazon.a这种是云杀，有的时候ksn红了的文件不会直接杀，但是双击一启动会马上bazon.a结束进程并删文件。

lovehhsw

LTSC1809 发表于 2024-11-15 19:57
Bazon.a这种是云杀，有的时候ksn红了的文件不会直接杀，但是双击一启动会马上bazon.a结束进程并删文件。

谢谢告知。
话说为什么第二个不杀，行为挺异常的，安装完成弹出向日葵的安装页面，盲猜是银狐
然后重启360急救箱扫描出tree.com




20:13重新运行卡巴和360（网购模式）还是没反应 仍然多个了tree.com卡巴KSN受信任、360右键miss

lovehhsw

LTSC1809 发表于 2024-11-15 19:57
Bazon.a这种是云杀，有的时候ksn红了的文件不会直接杀，但是双击一启动会马上bazon.a结束进程并删文件。

opentip报
https://opentip.kaspersky.com/74D262EE10CF2C888452610EEF0CF51F375BA6C0D027A12329F6EA82E9BC8729/results?tab=upload

ongarabazanade