卡巴斯基报毒Minecraft游戏启动器，疑似误报

ulyanov2233

SakuraLuo25 发表于 2025-7-5 14:32
蓝奏云网盘链接
https://wwxv.lanzoul.com/b0138yuomj
密码:bybb

卡巴这个报毒名是云拉黑，我传op看看是不是被抓出什么可疑行为了，op认为这是个蠕虫病毒Worm.Win32.BSS.ScreenLockop地址https://opentip.kaspersky.com/B3 ... /results?tab=upload，怎么现在op又转到clean了

小玮

重复，编辑

ulyanov2233

win11环境下天穹沙箱报毒该样本文件名为PCL2_CE_Release_x64.exe，是一个高度可疑的恶意软件样本。它在运行过程中表现出多种潜在恶意行为，包括但不限于文件操作、目录遍历、硬件特性探测、数据加密和反射加载等。以下是对其行为的概述性总结：

首先，样本没有PE签名，这通常意味着它可能是一个未经过认证的、未经验证的文件，增加了其潜在威胁性。其次，样本通过反射加载技术，尝试逃避分析和查杀，这表明它可能使用了高级的反分析技术。样本在运行过程中创建了一个名为SyStem.exe的根进程，用于创建样本进程，这可能是一种常见的恶意软件技术，用于隐藏其活动。


样本在运行过程中释放了多个文件，包括Config.json、PCL.ini、Profiles.json等，这些文件可能用于存储恶意软件的配置信息或用户数据。样本还尝试遍历多个目录，如Windows的assembly目录和.NET框架目录，这可能是在寻找其他潜在的感染目标或进行恶意操作。此外，样本还尝试修改文件时间戳，这可能用于混淆其活动或逃避检测。


样本还表现出对硬件特性的探测行为，通过执行WQL语句来获取处理器ID，这可能用于逃避分析或进行针对性攻击。样本还尝试监听键盘输入，这可能用于收集用户输入的敏感信息。样本还进行了数据加密操作，这可能用于加密用户数据，以防止数据泄露或被恢复。


总体而言，该样本具有高度的隐蔽性和复杂性，其行为涉及多种潜在恶意操作，包括文件操作、目录遍历、硬件特性探测、数据加密和反射加载等。这些行为表明该样本可能是一个高级的恶意软件，具有较强的攻击性和破坏性。因此，对于此类样本，需要采取严格的防护措施，包括使用高级的反病毒软件、保持系统和软件的更新、定期进行安全检查等。

SakuraLuo25

ulyanov2233 发表于 2025-7-5 14:27
下载之后essp直接关进elg，elg不认为这是个病毒 vt7/72：https://www.virustotal.com/gui/f ... 1b1af27bc? ...

emmm......B站上好多人都推荐这个启动器，而且mc启动器报毒对于网上的mc玩家来说基本上已经是家常便饭了，你可以看看原版的pcl2和hmcl，基本上wd都会报毒，但是B站上的mc玩家都会归结于误报

小玮

SakuraLuo25 发表于 2025-7-5 14:49
emmm......B站上好多人都推荐这个启动器，而且mc启动器报毒对于网上的mc玩家来说基本上已经是家常便饭了 ...

DS根据微步报告分析：

该文件具有明确的恶意意图，属于具备反分析能力的间谍软件（Spyware）与持久化木马的混合体。

核心恶意证据
反虚拟机与反调试（恶意软件典型特征）

感知时区（躲避沙箱时间分析）

检测硬盘大小（判断虚拟机环境）

创建 PAGE_GUARD 内存页（干扰调试器）

主动拖慢分析进度（对抗自动化沙箱）

信息窃取行为

键盘记录：通过消息钩子获取按键信息（直接窃取凭证）

环境侦察：

扫描任务栏（为注入 explorer.exe 做准备）

收集硬件指纹（MachineGuid, DigitalProductId 等）

隐蔽持久化技术

注册表篡改：触发Sigma规则 Autorun Keys Modification（中危），修改自启动项（ASEP）

DLL劫持：释放可疑文件 libwebp.dll（UPX加壳）

KIRSCH56

SakuraLuo25 发表于 2025-7-5 14:32
蓝奏云网盘链接
https://wwxv.lanzoul.com/b0138yuomj
密码:bybb

github投毒和中转存毒都大有人在的。而你说的“好多人推荐“不等于无毒，只是那些人当中可能有人没发现自己被投毒了，还可能有人是作者的托

SakuraLuo25

KIRSCH56 发表于 2025-7-5 15:09
github投毒和中转存毒都大有人在的。而你说的“好多人推荐“不等于无毒，只是那些人当中可能有人没发现自 ...

好家伙，我还以为GitHub上的所有文件都是绝对安全的呢，我之前以为开源的就是安全的

SakuraLuo25

我刚刚到GitHub上发帖了，我在那里的讨论区问了一下他们，现在还没回复，有回复了我在这里说一下

Rukia

SakuraLuo25 发表于 2025-7-5 15:14
我刚刚到GitHub上发帖了，我在那里的讨论区问了一下他们，现在还没回复，有回复了我在这里说一下

不如发邮件找卡巴的技术支持
卡巴斯基家庭和移动应用程序客户服务

SakuraLuo25

SakuraLuo25 发表于 2025-7-5 15:14
我刚刚到GitHub上发帖了，我在那里的讨论区问了一下他们，现在还没回复，有回复了我在这里说一下

最新回复，他们说是误报了，代码是完全公开的，可以自行审核，其次就算是官方驱动器放上去也会报毒，看来误报应该是Minecraft启动器的一个共性，毕竟这个游戏比较特殊，Java编写而且需要调动很多东西，所以误报还是有可能的