病毒吧群友提供-某游戏加速器

tony099

目前就360杀毒报毒 卡巴斯基不报

云端op有 反锁屏的特征：BSS:Worm.Win32.BSS.ScreenLock

动态分析以后这个反锁屏的特征 就消失了（很奇怪 ）


传到vt 就一个厂商的引擎报毒


米店不卖大米通过QQ闪传分享了【可能是病毒-慕讯免费加速器-Trojan.Generic.zip】
链接：https://qfile.qq.com/q/wRYxmg9aKW

Curve25519

ESET Smart Security Premium 解压、沙盘中运行、扫描都不报

扫描日志
检测引擎的版本: 31993 (20251008)
日期: 2025/10/9  时间: 9:48:06
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\可能是病毒-慕讯免费加速器-Trojan.Generic\MuXunAccelerator.exe
用户: DESKTOP-K07940I\Admin
已扫描的对象数: 536
检测数: 0
完成时间: 9:48:13  总扫描时间: 7 秒 (00:00:07)

ulyanov2233

奇安信天穹认为可疑

该样本MuXunAccelerator.exe为一个伪装成正常应用的恶意程序，尽管其文件签名合法，使用了由Certum Code Signing 2021 CA签发的证书（主体为Kunming Wuqi E-commerce Co.），且通过DigiCert可信根证书链进行时间戳验证，具备较高的可信度伪装能力，但其行为模式高度可疑，具备典型的恶意软件特征。样本在运行过程中通过一个名为SyStem.exe的父进程启动，随后创建自身进程muxunaccelerator.exe，并迅速衍生出多个svchost.exe与werfault.exe进程，利用Windows错误报告（WER）机制进行隐蔽活动。

核心恶意行为集中在对系统错误报告机制的滥用与系统环境探测。样本通过svchost.exe遍历系统服务（REnumServicesStatusExW）和目录（FindFirstFileExW），探测虚拟机或沙箱环境；同时频繁删除注册表键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\TermReason下的多个键值，意图清除错误报告记录，掩盖自身行为。此外，样本对werfault.exe进程实施跨进程内存写入（NtWriteVirtualMemory），疑似实现内存注入或代码注入，以劫持崩溃诊断流程。

样本在多个werfault.exe进程中执行敏感操作，包括遍历系统关键目录（如System32、ProgramData等）、检测调试器（dbghelp.dll）、挂起主进程线程（NtSuspendThread）以诊断崩溃原因，以及释放并写入多个临时文件（如MDPB0C4.tmp、MDPC3EF.tmp等），其中部分文件路径位于用户临时目录，具备持久化或后续加载能力。同时，样本还删除了崩溃转储文件（.dmp）和临时日志文件，进一步隐藏攻击痕迹。

综合来看，该样本利用Windows错误报告系统作为隐蔽通信与执行载体，具备环境探测、进程注入、文件释放、注册表清理与日志擦除等高级恶意行为，极可能为勒索软件、信息窃取或持久化后门。尽管签名合法，但其行为与正常软件严重不符，应视为高风险恶意软件，建议立即隔离并阻断其传播路径。

腾讯云沙箱中命中njrat 和infostealer的yara规则腾讯云安全_威胁情报中心

莒县小哥

MD不杀

Komeiji-Reimu

BSS.ScreenLock应该是通过快捷键手动触发的，用户造成的

神龟Turmi

看了一圈 应该是没问题的

更新：
查了一下资质 无证经营是没跑了 上述“应该没问题”仅对程序行为本身

lingchenheiye

火绒高启发扫描不报

biue

腾讯电脑管家 不报