两个可疑fakeapp样本msi

显示全部楼层 · 发表于 2025-6-7 16:27:19

https://www.123865.com/s/KV7DTd-FwgT3
https://wormhole.app/08NRRp#pfekSydGyDw8T7c9uMlaNA

显示全部楼层 · 发表于 2025-6-7 16:39:04

火绒

病毒库时间：2025-06-06 18:46
开始时间：2025-06-07 16:37
总计用时：00:00:30
扫描对象：39221
扫描文件：2
发现风险：24
已处理风险：24
病毒详情：
风险路径：E:\浏览器下载\fakeapp2X\idman642build40.msi >> FKTrump.dll, 病毒名：ADV:TrojanDownloader/Generic!meteor, 病毒ID：a540286dfdaab915, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk >> assets\plugins\com.qihoo.plugin.modulation.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk >> assets\plugins\com.qihoo.plugin.splash.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk >> assets\plugins\com.qihoo.plugin.webview.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk >> assets\plugins\com.qihoo360.mobilesafe.authguider.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk >> assets\plugins\com.qihoo360.mobilesafe.homepage.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk >> assets\plugins\com.qihoo360.mobilesafe.search.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk >> classes.dex, 病毒名：ADV:TrojanDropper/Android.Generic!meteor, 病毒ID：543f1072370fe385, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_1 >> assets\plugins\com.qihoo.plugin.modulation.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_1 >> assets\plugins\com.qihoo.plugin.splash.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_1 >> assets\plugins\com.qihoo.plugin.webview.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_1 >> assets\plugins\com.qihoo360.mobilesafe.authguider.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_1 >> assets\plugins\com.qihoo360.mobilesafe.homepage.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_1 >> assets\plugins\com.qihoo360.mobilesafe.search.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_1 >> classes.dex, 病毒名：ADV:TrojanDropper/Android.Generic!meteor, 病毒ID：543f1072370fe385, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_2 >> assets\plugins\com.qihoo.plugin.modulation.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_2 >> assets\plugins\com.qihoo.plugin.splash.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_2 >> assets\plugins\com.qihoo.plugin.webview.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_2 >> assets\plugins\com.qihoo360.mobilesafe.authguider.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_2 >> assets\plugins\com.qihoo360.mobilesafe.homepage.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_2 >> assets\plugins\com.qihoo360.mobilesafe.search.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_2 >> classes.dex, 病毒名：ADV:TrojanDropper/Android.Generic!meteor, 病毒ID：543f1072370fe385, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_3 >> assets\plugins\com.qihoo.plugin.modulation.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_3 >> assets\plugins\com.qihoo.plugin.splash.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件

复制代码

显示全部楼层 · 发表于 2025-6-7 16:43:48

本帖最后由莒县小哥于 2025-6-7 17:15 编辑

显示全部楼层 · 发表于 2025-6-7 16:49:07

ESET扫描杀1，卡巴被过

显示全部楼层 · 发表于 2025-6-7 17:05:48

迈克菲kill1x idmman

显示全部楼层 · 发表于 2025-6-7 17:30:41

火绒
扫描：未检出
运行：
Axs_win10-11_LineInst.msi -> 火绒防护被终止
（https://www.virustotal.com/gui/file/ff5dbdcf6d7ae5d97b6f3ef412df0b977ba4a844c45b30ca78c0eeb2653d69a8/detection）

idman642build40.msi -> 特征捉衍生物，但系统进程被注入无法处理

病毒详情：
风险路径：mem://5740-0x167ad868-0x84d0000-C:\Windows\explorer.exe, 病毒名：Backdoor/Lotok.ei, 病毒ID：dfc147455acd4b43, 处理结果：处理失败，SFC进程未处理
风险路径：mem://8016-0xb622f5f0-0x10a0000-C:\Windows\explorer.exe, 病毒名：Backdoor/Lotok.hq, 病毒ID：b35f8056f0f9810c, 处理结果：处理失败，SFC进程未处理

复制代码

显示全部楼层 · 发表于 2025-6-7 18:28:21

本帖最后由 martin1230 于 2025-6-7 18:35 编辑

卡巴斯基扫描miss 双击kill1
事件: 检测到恶意对象
用户: DESKTOP-54JOFA9\Administrator
用户类型: 发起者
应用程序名称: msiexec.exe
应用程序路径: C:\Windows\System32
组件: 文件反病毒
结果描述: 检测到
类型: 木马
名称: Trojan.Win32.Agentc.bp
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: qdata.tmp
对象路径: C:\Users\Administrator\plsamc2263218
对象的 MD5: 76F2B16AF4218DB4E3FD4B223F30190C
原因: 数据库
数据库发布日期: 今天，2025/6/7 下午4:25:00

显示全部楼层 · 发表于 2025-6-7 18:35:46

本帖最后由 biue 于 2025-6-9 23:29 编辑

腾讯电脑管家 2X

显示全部楼层 · 发表于 2025-6-7 19:16:44

emsisoft

恶意软件 "Behavior.HiddenInstallation" 来自于 "C:\Users\user\AppData\Roaming\ddrtjdrjdtykyrsdufhrdjrtjdFftjhhd2DREhhjyfhgjgjgykdfgerdjftyjtrftjthfharkhwsdygkgfgytfgjhrhtfjjwysrhhrhrhdjrtdrhsegefaftfjRHES2ffrjhE2WWS\pcapui.exe" 已隔离。
2025/6/6 22:00:48
恶意软件 "Gen:Variant.Tedy.782189 (B)" 来自于 "C:\ProgramData\FKTrump.dll" 已隔离。

复制代码

显示全部楼层 · 发表于 2025-6-7 19:18:12

本帖最后由 aboringman 于 2025-6-7 19:50 编辑

瑞星V17：1

2025-06-07 19:10:38 C:\Users\123aaa\Desktop\fakeapp2X\fakeapp2X\idman642build40.msi>>disk1.cab::FKTrump.dll Backdoor.Agent!8.C5D 清除

复制代码

Axs_win10-11_LineInst.msi：击杀1衍生物

2025-06-07 19:12:06 C:\Users\123aaa\AppData\Local\Temp\is-VS7SS.tmp\DRHG346H362.tmp Trojan.Convagent!8.12323 清除 C:\Program Files (x86)\Axs_win10-11_LineInst\Axs_win10-11_LineInst\DRHG346H362.exe

复制代码

Quick Heal：0

Axs_win10-11_LineInst.msi：WTF，内存扫描，这次跟之前那些被行为检测到的不同，提示需要重启。

被带走的那些东西（本体msi没有被带走）

idman642build40.msi：寄

[病毒样本] 两个可疑fakeapp样本msi

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源