黄金矿工经典版

3306-1

试玩版链接：https://store.steampowered.com/app/3777060

社区多名玩家反馈 360 杀软报毒，想看看其他杀软报毒情况


火绒扫描情况


看起来是 Air 运行环境的安卓安装包，报勒索病毒

包名：com.adobe.air，版本 51.1.3.3（510139999），该包的 SHA256 签名 90:FE:09:56:86:73:7B:52:EA:66:78:C4:E0:13:E0:36:5E:E9:25:32:DA:64:54:3E:A0:7E:04:AD:AD:67:F2:39

“官方”回应链接
https://www.xiaoheihe.cn/app/bbs/link/158176796

3306-1

pal家族 发表于 2025-7-4 08:31
既然可以轻松下载，你怎么不把样本下载出来传到网盘里呢？
是有什么难处吗？
还是说你也知道得安装stea ...

我并没有获得转载该试玩“版权”游戏分发权限，避免可能的侵权行为，所以引导至“官方”渠道下载检查，我希望是来帮忙的而不是找其中文字漏洞，谢谢您的反馈

火绒工程师

您好，该样本病毒库7.14更新后排除误报喔

3306-1

pal家族 发表于 2025-7-4 08:31
既然可以轻松下载，你怎么不把样本下载出来传到网盘里呢？
是有什么难处吗？
还是说你也知道得安装stea ...

https://www.xiaoheihe.cn/app/bbs/link/159026684
现在可以知道为什么不搬运“ 疑似文件 ”的缘由了

本身试玩版是可以免费获取的，没有“ 分发 ”权限
擅自搬运“ 可疑文件 ”，是可能遭到 “ 侵权 ”的

pal家族

从未见过这么发样本的。。。。

3306-1

pal家族 发表于 2025-7-4 08:26
从未见过这么发样本的。。。。

附带了下载链接，国内可以访问的，主站下载游戏并没有被屏蔽

pal家族

3306-1 发表于 2025-7-4 08:29
附带了下载链接，国内可以访问的，主站下载游戏并没有被屏蔽

既然可以轻松下载，你怎么不把样本下载出来传到网盘里呢？
是有什么难处吗？
还是说你也知道得安装steam软件，注册账号登陆，下载软件，安装到库文件夹里才行？测试完了再卸载steam

ulyanov2233

eset，卡巴斯基扫描不报，再加上steam上线游戏有审核又不是小红车的赛博花柳，指定是360误报了，打包之后vt扫描3/65：https://www.virustotal.com/gui/f ... 1df30eac2?nocache=1江民认为是hacktool，这个apk已经给了奇安信天穹分析，奇安信单独分析这个apk也认为安全https://sandbox.qianxin.com/tq/r ... 25f5ff8&sk=43510321vt扫这个apk0报毒https://www.virustotal.com/gui/f ... d9848b1e7?nocache=1

3306-1

ulyanov2233 发表于 2025-7-4 08:39
eset，卡巴斯基扫描不报，再加上steam上线游戏有审核又不是小红车的赛博花柳，指定是360误报了，打包之后vt ...

感谢帮忙提交分析，谢谢

题外话
上线游戏有审核：这个可能不对，是 Steam 尽可能扫描，而不是 Steam 做所有无毒保证

至于审核，参考案例：https://steamdb.info/app/3034540 与 3431040，后者为正版。盗版登录 Steam 也不是稀奇的事情了，一般是需要权利人亲自追究才有用，例如抢滩登陆与赵云传也依然在榜

ulyanov2233

3306-1 发表于 2025-7-4 08:56
感谢帮忙提交分析，谢谢

题外话

主要往steam里塞安卓病毒也是够抽象的，越权攻击win11的安卓模拟器吗

3306-1

ulyanov2233 发表于 2025-7-4 08:58
主要往steam里塞安卓病毒也是够抽象的，越权攻击win11的安卓模拟器吗

确实，我也感觉很疑惑，我感觉这个可能是 AIR SDK 环境安装包，安装后才可以运行游戏
直接运行会报错（在没有 SDK 环境时），测试前还以为是 Flash 打包后可直接运行 exe 成品

---------------------------
Application Error
---------------------------
Exception EFCreateError in module GoldMinerRA.exe at 00021DDD.

Cannot create file C:\Windows\system32\FLASH.OCX.


---------------------------
确定   
---------------------------

根目录下有环境 bat、vdf 一键安装脚本，文件内容如下

1. GoldMinerRA.bat
   
2. 
   
3. [url=home.php?mod=space&uid=331734]@echo[/url] off
   
4. net session >nul 2>&1
   
5. if %errorlevel% neq 0 (
   
6.     powershell -Command "Start-Process '%~f0' -Verb RunAs"
   
7.     exit /b
   
8. )
   
9. 
   
10. powershell -Command "Start-Process -FilePath '%~dp0GoldMinerRA.exe' -Verb RunAs"
    
11. timeout /t 3 /nobreak > nul
    
12. powershell -Command "Start-Process taskkill -ArgumentList '/f','/im','GoldMinerRA.exe' -Verb RunAs"
    
13. powershell -Command ^
    
14.   "Start-Process cmd -ArgumentList '/c','copy','/y','"%~dp0Flash.ocx"','"C:\\Windows\\SysWOW64\\Flash.ocx"' -Verb RunAs"
    
15. powershell -Command ^
    
16.   "Start-Process cmd -ArgumentList '/c','copy','/y','"%~dp0Flash.ocx"','"%windir%\\SysWOW64\\Flash.ocx"' -Verb RunAs"
    
17. powershell -Command ^
    
18.   "Start-Process cmd -ArgumentList '/c','regsvr32','/s','"%~dp0Flash.ocx"' -Verb RunAs"
    
19. 
    
20. exit /b

复制代码

1. installscript.vdf
   
2. 
   
3. "InstallScript"
   
4. {
   
5.         "Run Process"
   
6.         {
   
7.                 "PostInstallScript"
   
8.                 {
   
9.                         "process 1"                "%INSTALLDIR%\\GoldMinerRA.bat"
   
10.                         "command 1"                ""
    
11.                         "NoCleanUp"                "1"
    
12.                 }
    
13.         }
    
14. }
    
15. "kvsignatures"
    
16. {
    
17.         "InstallScript"                "ab151c2623bc376655e60fa8b209a40a7186c550fdbb4ce303882f7c2d76a0de4a663e281e73403cff8f405acad55e99789a8b1b27c63b0b133155d8ae336273eacc3ded12002edcd8e418ff878a9ca4e16ddae3f11a3b29f1d774bbc46b839515bc7c18318e66e4573c485b559250b86cf1f8919120f541825421429ef5b792"
    
18. }

复制代码

3306-1

@火绒工程师 劳烦帮忙也看一下，谢谢