夸克浏览器未知js文件

junhongli666

卡巴斯基今天早上报毒夸克浏览器目录下的"background.js"并提示HEUR:Trojan.Script.Generic
各位大神可以帮忙分析下吗？

御坂14857号

jxfaiu

双击

心醉咖啡

360扫描miss

munsimli

Emsisoft解壓就殺了

2025/8/10 下午 12:37:43
即時監控檢測 惡意軟體 "Trojan.GenericKD.76398227 (B)" 來自於 C:\Users\DanDa\OneDrive\Desktop\background.js (SHA1: 9E23514ED4570EB4A3D93B92E5954CFF693AEAC9)

2025/8/10 下午 12:37:43
依據規則：隔離

hellohere

esbs kill

PhozeAMTB

ongarabazanade

双击样本360火绒都没反应

awsl10000次

sophos intelix 恶意（显示低信誉）
https://www.virustotal.com/gui/f ... 713192a60?nocache=1
vt上bd，eset，卡巴全报，应该不是误报吧？不过三家全错的概率也是有的

ANY.LNK

单纯这个JS像是某个浏览器扩展的一部分，像是个跟踪/分析/遥测代码。

会尝试未加密的发送编码的数据（其中包括用户的唯一标识符）到http://readrbee.]com/api/action/，http://readrbee[.com/api/config/

添加监听器，向网页注入index.js，main.js，main.css，似乎还有云控更新配置的行为。
此外还会影响卸载行为

1. 
   
2. Date: Sun, 10 Aug 2025 11:24:53 GMT
   
3. Content-Type: application/json
   
4. Transfer-Encoding: chunked
   
5. Connection: keep-alive
   
6. Server: cloudflare
   
7. Nel: {"report_to":"cf-nel","success_fraction":0.0,"max_age":604800}
   
8. Cf-Cache-Status: DYNAMIC
   
9. Report-To: {"group":"cf-nel","max_age":604800,"endpoints":[{"url":"https://a.nel.cloudflare.com/report/v4?s=KuBgl0C5IMozoVn9KrnDkFXW0g25naIuCxw4sXBBovo3xw3bTxb0vBw8mERs5Z%2BjaTWXnwPw83MP960m4aw1LXPBb%2B1H9YQrbJWN%2Fr2I%2BK8Ks9I%2BlG%2FBkg%3D%3D"}]}
   
10. CF-RAY: 96cf2122faef4ede-WAW
    
11. alt-svc: h3=":443"; ma=86400

复制代码

action的响应如上