FakeApp 2x

fengyu0126

样本：https://wormhole.app/qze7O8#5-gsdAz4xUtoP7luIiChpQ
vt4：https://www.virustotal.com/gui/f ... afba6ff2b5e/details
vt10：https://www.virustotal.com/gui/f ... 24461a6a6/relations
火绒扫描：miss

莒县小哥

aboringman

360：0

这两个直到安装结束，360全无反应。

Update：TaDk_Sup-x64.8.6.exe这个确认被过掉了，另一个没看出来（



ESET：击杀1本体，另一个击杀几个衍生物

1. 2025/6/3 15:48:26  文件系统实时防护  文件  C:\Users\123aaa\Desktop\Wormhole qze7O8\WPS_Setup_21171_xч64.exe  Suspicious Object  已通过删除清除  123a\123aaa  尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (DB7445EFC91ACEEB825A1FB8A3A7D5E6715982E9).  0B82B43665BB14984FAA0ECBB1E19DAFE8673A19  2025/5/29 21:10:22
   
2. 
   
3. 2025/6/3 15:49:25  文件系统实时防护  文件  C:\Users\123aaa\AppData\Local\Sangee.ini  Win32/ShellCode.AA 特洛伊木马  已通过删除清除  123a\123aaa  在通过应用程序创建的新文件上发生了事件: C:\Users\123aaa\Desktop\Wormhole qze7O8\TaDk_Sup-x64.8.6.exe (CBF3BDD008F1582D67933A2AB4A9343B1E390ED4).  42987D42EA96CBBFBBFBFA70E8E456AE306F0A08  2025/6/2 23:54:52
   
4. 
   
5. 2025/6/3 15:49:35  文件系统实时防护  文件  C:\Users\123aaa\AppData\Roaming\Config.ini  Win32/ShellCode.AA 特洛伊木马  已通过删除清除  123a\123aaa  在通过应用程序创建的新文件上发生了事件: C:\Users\123aaa\Desktop\Wormhole qze7O8\TaDk_Sup-x64.8.6.exe (CBF3BDD008F1582D67933A2AB4A9343B1E390ED4).  F217EFDBB5AC3F037240A09320727878A9EDE2AF  2025/6/2 23:54:50
   
6. 
   
7. 2025/6/3 15:49:35  文件系统实时防护  文件  C:\Users\123aaa\AppData\Roaming\Config2.ini  Win32/ShellCode.AA 特洛伊木马  已通过删除清除  123a\123aaa  在通过应用程序创建的新文件上发生了事件: C:\Users\123aaa\Desktop\Wormhole qze7O8\TaDk_Sup-x64.8.6.exe (CBF3BDD008F1582D67933A2AB4A9343B1E390ED4).  69B43131A9C95B786BDAEA2EC32A36221B3ADDE6  2025/6/2 23:54:50
   
8. 
   
9. 2025/6/3 15:49:35  文件系统实时防护  文件  C:\Users\123aaa\AppData\Roaming\TrustAsia\Config2.ini  Win32/ShellCode.AA 特洛伊木马  已通过删除清除  123a\123aaa  在通过应用程序创建的新文件上发生了事件: C:\Users\123aaa\Desktop\Wormhole qze7O8\TaDk_Sup-x64.8.6.exe (CBF3BDD008F1582D67933A2AB4A9343B1E390ED4).  69B43131A9C95B786BDAEA2EC32A36221B3ADDE6  2025/6/2 23:54:50
   
10. 
    
11. 2025/6/3 15:49:35  文件系统实时防护  文件  C:\Users\123aaa\AppData\Roaming\TrustAsia\Config.ini  Win32/ShellCode.AA 特洛伊木马  已通过删除清除  123a\123aaa  在通过应用程序创建的新文件上发生了事件: C:\Users\123aaa\Desktop\Wormhole qze7O8\TaDk_Sup-x64.8.6.exe (CBF3BDD008F1582D67933A2AB4A9343B1E390ED4).  F217EFDBB5AC3F037240A09320727878A9EDE2AF  2025/6/2 23:54:50

复制代码

天守：1（扫描无检测，运行时被拦截并击杀）



另一个击杀1衍生物后系统被重启，重启后未见异常。

Lolo期待

卡巴斯基kill 1X

事件: 我们发现可能会被入侵者利用以破坏您的计算机或个人数据的应用程序
组件: 病毒扫描
结果: 检测到
结果描述: 检测到
类型: 可能会被入侵者利用以破坏您的计算机或个人数据的合法软件
名称: not-a-virus:Downloader.Win32.Yantai.s
精确度: 确切
威胁级别: 低
对象类型: 文件
对象名称: WPS_Setup_21171_xч64.exe
对象路径: D:\360极速浏览器X下载\Wormhole qze7O8\WPS_Setup_21171_xч64
对象的 MD5: D1C54C4FB40F6F40330095CB925E7DB7
原因: 专家分析
数据库发布日期: 今天，2025/6/3 下午1:11:00

ulyanov2233

奇安信沙箱kill2x

inhh1

SESC：
TaDk:WS.Reputation.3杀衍生exe
Heur.AdvML.B!200杀衍生dll
WPS_Setup：PUA.Gen.2落地杀

啊松

剩下一个卡巴pdm加回滚

吃瓜群众第123位

AhnLab miss

UNknownOoo

火绒

TaDk_Sup-x64.8.6.exe
运行：

1. 防护项目：流行病毒
   
2. 可疑文件：HKEY_LOCAL_MACHINE\SOFTWARE\IpDates_info
   
3. 操作结果：已阻止
   
4. 进程ID：856
   
5. 操作进程：C:\Windows\SysWOW64\regsvr32.exe
   
6. 操作进程命令行：re""gsv""r32  "C:\Users\UnknownQwQ\AppData\Roaming\TrustAsia\intel.dll"
   
7. 父进程ID：7008
   
8. 父进程：C:\Windows\SysWOW64\cmd.exe
   
9. 父进程命令行：cmd.exe /C "start re"gsvr32" C:\Users\UnknownQwQ\AppData\Roaming\TrustAsia\intel.dll"

复制代码

1. 病毒名称：Backdoor/Lotok.fs
   
2. 病毒ID：C284CCDE13F78515
   
3. 虚拟地址：0x0000000005570000
   
4. 映像大小：136KB
   
5. 是否完整映像：否
   
6. 数据流哈希：2a9b3ada
   
7. 操作结果：已处理
   
8. 进程ID：856
   
9. 操作进程：C:\Windows\SysWOW64\regsvr32.exe
   
10. 操作进程命令行：re""gsv""r32  "C:\Users\UnknownQwQ\AppData\Roaming\TrustAsia\intel.dll"
    
11. 父进程ID：7008
    
12. 父进程：C:\Windows\SysWOW64\cmd.exe
    
13. 父进程命令行：cmd.exe /C "start re"gsvr32" C:\Users\UnknownQwQ\AppData\Roaming\TrustAsia\intel.dll"

复制代码

WPS_Setup_21171_xч64.exe
运行：未检出 环境检测



patch掉相关检测后运行：内存防护捉

1. 防护项目：系统任务目录
   
2. 目标文件：C:\Windows\System32\Tasks\OneDrive Startup Task-1-2-19
   
3. 操作结果：已允许
   

复制代码

1. 防护项目：启动项
   
2. 操作类型：修改
   
3. 数据内容：C:\ProgramData\anonymous\run\Windows_Edge.lnk
   
4. 目标注册表：HKEY_USERS\S-1-5-21-654139108-1507905290-1231393134-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicrosoftEdge
   
5. 操作结果：已允许
   

复制代码

1. 病毒名称：Backdoor/Lotok.ei
   
2. 病毒ID：DFC147455ACD4B43
   
3. 虚拟地址：0x000000008DA60000
   
4. 映像大小：392KB
   
5. 是否完整映像：否
   
6. 数据流哈希：d56462a9
   
7. 操作结果：已处理
   
8. 进程ID：6424
   
9. 操作进程：C:\Users\User\Desktop\unins_.exe
   
10. 操作进程命令行："C:\Users\User\Desktop\unins_.exe"
    
11. 父进程ID：5476
    
12. 父进程：C:\Users\User\Desktop\unins_.exe
    
13. 父进程命令行："C:\Users\User\Desktop\unins_.exe"

复制代码

Rukia

UNknownOoo 发表于 2025-6-3 19:39
火绒

TaDk_Sup-x64.8.6.exe

"请下载原神”