两个可疑fakeapp样本msi

啊松

https://www.123865.com/s/KV7DTd-FwgT3
https://wormhole.app/08NRRp#pfekSydGyDw8T7c9uMlaNA

心醉咖啡

火绒

1. 病毒库时间：2025-06-06 18:46
   
2. 开始时间：2025-06-07 16:37
   
3. 总计用时：00:00:30
   
4. 扫描对象：39221
   
5. 扫描文件：2
   
6. 发现风险：24
   
7. 已处理风险：24
   
8. 病毒详情：
   
9. 风险路径：E:\浏览器下载\fakeapp2X\idman642build40.msi >> FKTrump.dll, 病毒名：ADV:TrojanDownloader/Generic!meteor, 病毒ID：a540286dfdaab915, 处理结果：已处理，删除文件
   
10. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk >> assets\plugins\com.qihoo.plugin.modulation.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
11. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk >> assets\plugins\com.qihoo.plugin.splash.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
12. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk >> assets\plugins\com.qihoo.plugin.webview.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
13. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk >> assets\plugins\com.qihoo360.mobilesafe.authguider.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
14. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk >> assets\plugins\com.qihoo360.mobilesafe.homepage.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
15. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk >> assets\plugins\com.qihoo360.mobilesafe.search.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
16. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk >> classes.dex, 病毒名：ADV:TrojanDropper/Android.Generic!meteor, 病毒ID：543f1072370fe385, 处理结果：已处理，删除文件
    
17. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_1 >> assets\plugins\com.qihoo.plugin.modulation.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
18. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_1 >> assets\plugins\com.qihoo.plugin.splash.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
19. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_1 >> assets\plugins\com.qihoo.plugin.webview.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
20. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_1 >> assets\plugins\com.qihoo360.mobilesafe.authguider.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
21. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_1 >> assets\plugins\com.qihoo360.mobilesafe.homepage.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
22. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_1 >> assets\plugins\com.qihoo360.mobilesafe.search.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
23. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_1 >> classes.dex, 病毒名：ADV:TrojanDropper/Android.Generic!meteor, 病毒ID：543f1072370fe385, 处理结果：已处理，删除文件
    
24. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_2 >> assets\plugins\com.qihoo.plugin.modulation.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
25. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_2 >> assets\plugins\com.qihoo.plugin.splash.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
26. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_2 >> assets\plugins\com.qihoo.plugin.webview.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
27. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_2 >> assets\plugins\com.qihoo360.mobilesafe.authguider.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
28. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_2 >> assets\plugins\com.qihoo360.mobilesafe.homepage.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
29. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_2 >> assets\plugins\com.qihoo360.mobilesafe.search.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
30. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_2 >> classes.dex, 病毒名：ADV:TrojanDropper/Android.Generic!meteor, 病毒ID：543f1072370fe385, 处理结果：已处理，删除文件
    
31. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_3 >> assets\plugins\com.qihoo.plugin.modulation.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    
32. 风险路径：E:\浏览器下载\fakeapp2X\Axs_win10-11_LineInst.msi >> apk_3 >> assets\plugins\com.qihoo.plugin.splash.jar >> classes.dex, 病毒名：ADV:Ransom/Android.LockFile!meteor, 病毒ID：0b6f3fcee7d2f6b7, 处理结果：已处理，删除文件
    

复制代码

莒县小哥

jxfaiu

ESET扫描杀1，卡巴被过

ulyanov2233

迈克菲kill1x idmman

UNknownOoo

火绒
扫描：未检出
运行：
Axs_win10-11_LineInst.msi -> 火绒防护被终止
（https://www.virustotal.com/gui/file/ff5dbdcf6d7ae5d97b6f3ef412df0b977ba4a844c45b30ca78c0eeb2653d69a8/detection）

idman642build40.msi -> 特征捉衍生物，但系统进程被注入无法处理

1. 病毒详情：
   
2. 风险路径：mem://5740-0x167ad868-0x84d0000-C:\Windows\explorer.exe, 病毒名：Backdoor/Lotok.ei, 病毒ID：dfc147455acd4b43, 处理结果：处理失败，SFC进程未处理
   
3. 风险路径：mem://8016-0xb622f5f0-0x10a0000-C:\Windows\explorer.exe, 病毒名：Backdoor/Lotok.hq, 病毒ID：b35f8056f0f9810c, 处理结果：处理失败，SFC进程未处理
   

复制代码

martin1230

卡巴斯基扫描miss 双击kill1
事件: 检测到恶意对象
用户: DESKTOP-54JOFA9\Administrator
用户类型: 发起者
应用程序名称: msiexec.exe
应用程序路径: C:\Windows\System32
组件: 文件反病毒
结果描述: 检测到
类型: 木马
名称: Trojan.Win32.Agentc.bp
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: qdata.tmp
对象路径: C:\Users\Administrator\plsamc2263218
对象的 MD5: 76F2B16AF4218DB4E3FD4B223F30190C
原因: 数据库
数据库发布日期: 今天，2025/6/7 下午4:25:00

biue

腾讯电脑管家 2X

lsop1349987

emsisoft

1. 恶意软件 "Behavior.HiddenInstallation" 来自于 "C:\Users\user\AppData\Roaming\ddrtjdrjdtykyrsdufhrdjrtjdFftjhhd2DREhhjyfhgjgjgykdfgerdjftyjtrftjthfharkhwsdygkgfgytfgjhrhtfjjwysrhhrhrhdjrtdrhsegefaftfjRHES2ffrjhE2WWS\pcapui.exe" 已隔离。
   
2. 
   
3. 2025/6/6 22:00:48
   
4. 恶意软件 "Gen:Variant.Tedy.782189 (B)" 来自于 "C:\ProgramData\FKTrump.dll" 已隔离。

复制代码

aboringman

瑞星V17：1

1. 2025-06-07 19:10:38  C:\Users\123aaa\Desktop\fakeapp2X\fakeapp2X\idman642build40.msi>>disk1.cab::FKTrump.dll  Backdoor.Agent!8.C5D  清除   

复制代码

Axs_win10-11_LineInst.msi：击杀1衍生物

1. 2025-06-07 19:12:06  C:\Users\123aaa\AppData\Local\Temp\is-VS7SS.tmp\DRHG346H362.tmp  Trojan.Convagent!8.12323  清除  C:\Program Files (x86)\Axs_win10-11_LineInst\Axs_win10-11_LineInst\DRHG346H362.exe  

复制代码

Quick Heal：0

Axs_win10-11_LineInst.msi：WTF，内存扫描，这次跟之前那些被行为检测到的不同，提示需要重启。





被带走的那些东西（本体msi没有被带走）





idman642build40.msi：寄