假有道

Rukia

钓鱼网址:
hxxps://www.yodao-fanyi[.]com/download[.]php
实际下载链接：
hxxps://storage[.]googleapis.com/xrpy/OETRCSDFXZYoudaoDict_web_banner[.]zip

衍生物
VirusTotal - File - d2d23e0745edee277562eef961ee69baab538eed169f11ae20476a3a7fc9300c
jii.dll可能是恶意的

https://wormhole.app/2o83B1#TJmdGL0Neb0psRVmj-k4Pg
解压密码：infected

源文件
VirusTotal - File - b46ea4a0ba333333ea67bed3bb047c4343a247a075f62bd06358a600eb43493a

https://wormhole.app/xkp6Qv#ikWqPJjKVY8IPBznf5_Z1Q
解压密码：infected

可疑行为：
创建计划任务 C:\ProgramData\lOXdX\javac.exe

Curve25519

ESET Smart Security Premium 解压杀 jli.dll，沙盘中双击提示找不到 jli.dll，剩下的扫描不报，沙盘中安装杀2衍生物

2025/9/19 15:37:44;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\lOXdX\jli.dll;WinGo/Agent.ALD 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;A8F7F447EA025BC34ACBCA2AF6854CEEF1CEDD3E;2025/9/19 15:37:42;;

扫描日志
检测引擎的版本: 31886 (20250919)
日期: 2025/9/19  时间: 15:39:33
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\lOXdX
用户: DESKTOP-K07940I\Admin
已扫描的对象数: 43
检测数: 0
完成时间: 15:39:33  总扫描时间: 0 秒 (00:00:00)

安装包：
解压 miss，扫描 kill
扫描日志
检测引擎的版本: 31886 (20250919)
日期: 2025/9/19  时间: 16:11:24
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\Win7-11_VMwva_install_YoudacDict_fanyiwob_player_offline_ax.msi
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\DefaultBox\drive\W\Win7-11_VMwva_install_YoudacDict_fanyiwob_player_offline_ax.msi > MSI > disk1.cab > CAB > svchost22.exe - Win32/GenKryptik_AGen.BIG 特洛伊木马 的变量 - 已保留
W:\Sandbox\Admin\DefaultBox\drive\W\Win7-11_VMwva_install_YoudacDict_fanyiwob_player_offline_ax.msi > MSI > disk1.cab > CAB > txt - Win32/ShellCode.AC 特洛伊木马 - 已保留
已扫描的对象数: 1192
检测数: 2
已清除的对象数: 0
完成时间: 16:11:54  总扫描时间: 30 秒 (00:00:30)


沙盘中安装
2025/9/19 16:13:27;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\user\all\915.txt;Win32/ShellCode.AC 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Windows\System32\msiexec.exe (5FF322CEBF40A3ACC4351A92B734E0F1AD9448C5).;0067FA09F69A8DD5F7D56AD2799D35BE81E61B6A;2025/9/15 23:19:16;;
2025/9/19 16:13:27;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\C\Program Files (x86)\YoudaoDict_fanyiweb_navigation\YoudaoDict_fanyiweb_navigation\svchost22.exe;Win32/GenKryptik_AGen.BIG 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Windows\System32\msiexec.exe (5FF322CEBF40A3ACC4351A92B734E0F1AD9448C5).;987FA5A4252B3F5CA7C005F6740FA23D3FB8876D;2025/9/15 22:44:40;;

aboringman

Avast：寄，长时间无反应

---

KIS：miss，全程无反应，手动扫描可以检出内存中可疑，会终止javac.exe但之后仍会复发（未实际处理掉计划任务及任何恶意部分），判负

1. 事件: 检测到恶意对象
   
2. 组件: 病毒扫描
   
3. 结果: 检测到
   
4. 结果说明: 检测到
   
5. 类型: 木马
   
6. 名称: MEM:Trojan.Win64.Shellcode.gen
   
7. 精确度: 确切
   
8. 威胁级别: 高
   
9. 对象类型: 文件
   
10. 对象名称: System Memory
    
11. 原因: 专家分析
    
12. 数据库发布日期: 今天，2025/9/19 15:29:00
    
13. 
    
14. 事件: 对象已清除
    
15. 组件: 病毒扫描
    
16. 结果: 已清除
    
17. 结果说明: 已清除
    
18. 类型: 木马
    
19. 名称: MEM:Trojan.Win32.Cometer.gen
    
20. 精确度: 确切
    
21. 威胁级别: 高
    
22. 对象类型: 文件
    
23. 对象名称: System Memory

复制代码

tony099

火绒全程没反应

任务管理器已经注入恶意进程 指向这个java环境的openjdk》

C:\ProgramData\yeVVp
——————————————

卡巴op miss  已经上报

lsop1349987

emsi双击

1. 2025/9/19 17:02:43
   
2. 行为监控检测 可疑行为 "CodeInjector" 来自于 C:\Users\user000\Desktop\OETRCSDFXZYoudaoDict_web_banner.exe (SHA1: B6F01CF6113ADA67C21C7B370EE00F26A262B6EB)
   

复制代码

天守双击miss，但不知为何启动项和计划任务均处于禁止状态，且日志里没有拦截记录
大蜘蛛双击miss，防护等级拉满
hmpa双击kill，但持久化成功，马上自启并持续拦截
Avira双击杀dll，HEUR\APC
360双击拦截，卡在安装界面，第二次运行不拦截了，杀dll
金山毒霸结果同360，第一次拦注册表后卡死，但第二次运行miss

1. 时间        操作        说明        次数
   
2. 2025-06-17 19:11:41        [自动阻止]          模拟按键        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Users\user000\Desktop\OETRCSDFXZYoudaoDict_web_banner.exe "C:\Users\user000\Desktop\OETRCSDFXZYoudaoDict_web_banner.exe" , (1, 23)
   
5. 动作：模拟按键
   
6. 路径：
   

复制代码

tihs

貌似javac.exe无法运行
另外，当前安装包已经更新Win7-11_VMwva_install_YoudacDict_fanyiwob_player_offline_ax，卡巴双击可杀

ZXCVDS

比特梵德ATC kill,不得不说大B的atc是真强

dght432

卡巴可以拦截恶意网址

ongarabazanade

莒县小哥