假wps

Myrenaser

假网站：https://www.on-wps.com/

双衔通过QQ闪传分享了 【GWMeqk-itstos-2.35.7z】
链接：【https://qfile.qq.com/q/mNO1sVVGQS】

VT首次上报：【https://www.virustotal.com/gui/f ... 31350b248/detection】
BDTS扫描miss，双击部分报毒

用7-zip打开，发现大量不明后缀，疑似本体均被加密

918448e18b6fc75001634e154dabfe9d07aceac93ec997e833c592b31350b248

卡巴斯基扫描kill

啊松

jijianan2007

360双击阻止运行

post88

avast 扫描miss

对对对对

ESET扫描未检出。声誉不可用

superLYT

BD双击ATD

wwwab

火绒
扫描: Miss
双击:

1. 【1】2025-12-26 23:39:31,病毒防护,病毒查杀,快速扫描 (手动执行), 发现3个风险项目
   
2. 
   
3. 病毒库时间：2025-12-26 19:58
   
4. 开始时间：2025-12-26 23:36
   
5. 执行类型：手动执行
   
6. 扫描类型：快速扫描
   
7. 总计用时：00:02:28
   
8. 扫描对象：3413
   
9. 扫描文件：1808
   
10. 发现风险：3
    
11. 已处理风险：3
    
12. 病毒详情：
    
13. 风险路径：mem://5792-0x7ee51e19-0x2be5fae0000-C:\Windows\System32\dllhost.exe, 病毒名：Backdoor/Lotok.iv, 病毒ID：d69c1814f0cd12ad, 处理结果：处理成功，进程已结束
    
14. 风险路径：mem://2584-0x5c5c5b64-0x2b04a400000-C:\Windows\System32\rundll32.exe, 病毒名：Backdoor/Lotok.iv, 病毒ID：d69c1814f0cd12ad, 处理结果：处理成功，进程已结束
    
15. 风险路径：mem://5976-0xabd69bab-0x1ad7ad90000-C:\Windows\System32\calc.exe, 病毒名：Backdoor/Lotok.iv, 病毒ID：d69c1814f0cd12ad, 处理结果：处理成功，进程已结束
    
16. 
    
17. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
18. 
    
19. 【2】2025-12-26 23:36:51,病毒防护,内存防护,发现病毒Backdoor/Lotok.ei, 暂不处理
    
20. 
    
21. 病毒名称：Backdoor/Lotok.ei
    
22. 病毒ID：DFC147455ACD4B43
    
23. 虚拟地址：0x0000000049F40000
    
24. 映像大小：356KB
    
25. 是否完整映像：否
    
26. 数据流哈希：b29f2bd6
    
27. 操作结果：暂不处理
    
28. 进程ID：2584
    
29. 操作进程：C:\Windows\System32\rundll32.exe
    
30. 操作进程命令行：C:\Windows\System32\rundll32.exe
    
31. 父进程ID：3240
    
32. 父进程：C:\Windows\System32\wbem\WmiPrvSE.exe
    
33. 父进程命令行："C:\Windows\System32\wbem\WmiPrvSE.exe"
    
34. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
35. 
    
36. 【3】2025-12-26 23:36:51,病毒防护,内存防护,发现病毒Backdoor/Lotok.fs, 暂不处理
    
37. 
    
38. 病毒名称：Backdoor/Lotok.fs
    
39. 病毒ID：C284CCDE13F78515
    
40. 虚拟地址：0x0000000040000000
    
41. 映像大小：160KB
    
42. 是否完整映像：否
    
43. 数据流哈希：b29f2bd6
    
44. 操作结果：暂不处理
    
45. 进程ID：2584
    
46. 操作进程：C:\Windows\System32\rundll32.exe
    
47. 操作进程命令行：C:\Windows\System32\rundll32.exe
    
48. 父进程ID：3240
    
49. 父进程：C:\Windows\System32\wbem\WmiPrvSE.exe
    
50. 父进程命令行："C:\Windows\System32\wbem\WmiPrvSE.exe"
    
51. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
52. 
    
53. 【4】2025-12-26 23:36:51,系统防护,系统加固,rundll32.exe触犯系统免疫规则, 已阻止
    
54. 
    
55. 防护项目：流行病毒
    
56. 可疑文件：HKEY_LOCAL_MACHINE\SOFTWARE\IpDates_info
    
57. 操作结果：已阻止
    
58. 进程ID：2584
    
59. 操作进程：C:\Windows\System32\rundll32.exe
    
60. 操作进程命令行：C:\Windows\System32\rundll32.exe
    
61. 操作进程校验和：DD399AE46303343F9F0DA189AEE11C67BD868222
    
62. 父进程ID：3240
    
63. 父进程：C:\Windows\System32\wbem\WmiPrvSE.exe
    
64. 父进程命令行："C:\Windows\System32\wbem\WmiPrvSE.exe"
    
65. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
66. 
    
67. 【5】2025-12-26 23:36:50,病毒防护,内存防护,发现病毒Backdoor/Lotok.ei, 暂不处理
    
68. 
    
69. 病毒名称：Backdoor/Lotok.ei
    
70. 病毒ID：DFC147455ACD4B43
    
71. 虚拟地址：0x000000007AD30000
    
72. 映像大小：356KB
    
73. 是否完整映像：否
    
74. 数据流哈希：ff32bebc
    
75. 操作结果：暂不处理
    
76. 进程ID：5976
    
77. 操作进程：C:\Windows\System32\calc.exe
    
78. 操作进程命令行：C:\Windows\System32\calc.exe
    
79. 父进程ID：3240
    
80. 父进程：C:\Windows\System32\wbem\WmiPrvSE.exe
    
81. 父进程命令行："C:\Windows\System32\wbem\WmiPrvSE.exe"
    
82. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
83. 
    
84. 【6】2025-12-26 23:36:50,病毒防护,内存防护,发现病毒Backdoor/Lotok.fs, 暂不处理
    
85. 
    
86. 病毒名称：Backdoor/Lotok.fs
    
87. 病毒ID：C284CCDE13F78515
    
88. 虚拟地址：0x0000000040000000
    
89. 映像大小：160KB
    
90. 是否完整映像：否
    
91. 数据流哈希：ff32bebc
    
92. 操作结果：暂不处理
    
93. 进程ID：5976
    
94. 操作进程：C:\Windows\System32\calc.exe
    
95. 操作进程命令行：C:\Windows\System32\calc.exe
    
96. 父进程ID：3240
    
97. 父进程：C:\Windows\System32\wbem\WmiPrvSE.exe
    
98. 父进程命令行："C:\Windows\System32\wbem\WmiPrvSE.exe"
    
99. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
100. 
     
101. 【7】2025-12-26 23:36:50,系统防护,系统加固,calc.exe触犯系统免疫规则, 已阻止
     
102. 
     
103. 防护项目：流行病毒
     
104. 可疑文件：HKEY_LOCAL_MACHINE\SOFTWARE\IpDates_info
     
105. 操作结果：已阻止
     
106. 进程ID：5976
     
107. 操作进程：C:\Windows\System32\calc.exe
     
108. 操作进程命令行：C:\Windows\System32\calc.exe
     
109. 操作进程校验和：ED13AF4A0A754B8DAEE4929134D2FF15EBE053CD
     
110. 父进程ID：3240
     
111. 父进程：C:\Windows\System32\wbem\WmiPrvSE.exe
     
112. 父进程命令行："C:\Windows\System32\wbem\WmiPrvSE.exe"
     
113. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
     
114. 
     
115. 【8】2025-12-26 23:36:49,病毒防护,内存防护,发现病毒Backdoor/Lotok.ei, 暂不处理
     
116. 
     
117. 病毒名称：Backdoor/Lotok.ei
     
118. 病毒ID：DFC147455ACD4B43
     
119. 虚拟地址：0x000000005FA80000
     
120. 映像大小：356KB
     
121. 是否完整映像：否
     
122. 数据流哈希：f9c96008
     
123. 操作结果：暂不处理
     
124. 进程ID：5792
     
125. 操作进程：C:\Windows\System32\dllhost.exe
     
126. 操作进程命令行：C:\Windows\System32\dllhost.exe
     
127. 父进程ID：3240
     
128. 父进程：C:\Windows\System32\wbem\WmiPrvSE.exe
     
129. 父进程命令行："C:\Windows\System32\wbem\WmiPrvSE.exe"
     
130. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
     
131. 
     
132. 【9】2025-12-26 23:36:49,病毒防护,内存防护,发现病毒Backdoor/Lotok.fs, 暂不处理
     
133. 
     
134. 病毒名称：Backdoor/Lotok.fs
     
135. 病毒ID：C284CCDE13F78515
     
136. 虚拟地址：0x0000000040000000
     
137. 映像大小：160KB
     
138. 是否完整映像：否
     
139. 数据流哈希：f9c96008
     
140. 操作结果：暂不处理
     
141. 进程ID：5792
     
142. 操作进程：C:\Windows\System32\dllhost.exe
     
143. 操作进程命令行：C:\Windows\System32\dllhost.exe
     
144. 父进程ID：3240
     
145. 父进程：C:\Windows\System32\wbem\WmiPrvSE.exe
     
146. 父进程命令行："C:\Windows\System32\wbem\WmiPrvSE.exe"
     
147. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
     
148. 
     
149. 【10】2025-12-26 23:36:49,系统防护,系统加固,dllhost.exe触犯系统免疫规则, 已阻止
     
150. 
     
151. 防护项目：流行病毒
     
152. 可疑文件：HKEY_LOCAL_MACHINE\SOFTWARE\IpDates_info
     
153. 操作结果：已阻止
     
154. 进程ID：5792
     
155. 操作进程：C:\Windows\System32\dllhost.exe
     
156. 操作进程命令行：C:\Windows\System32\dllhost.exe
     
157. 操作进程校验和：2CE12A317BEBF8293F3544433A55D972A5967996
     
158. 父进程ID：3240
     
159. 父进程：C:\Windows\System32\wbem\WmiPrvSE.exe
     
160. 父进程命令行："C:\Windows\System32\wbem\WmiPrvSE.exe"
     
161. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
     
162. 
     

复制代码

冰盾

1. 冰盾拦截事件：
   
2. 
   
3. 行为: 修改进程内存
   
4. 拦截规则: 内置规则 > 高级防御 > 拦截代码注入
   
5. 响应动作: 询问（允许）
   
6. 最后一次拦截时间: 2025-12-26 23:36:40
   
7. 拦截次数: 1
   
8. 进程名称: Win1.exe
   
9. 进程路径: C:\Users\Public\Us\Win1.exe
   
10. 进程命令行: C:\Users\Public\Us\Win1.exe
    
11. 操作目标: C:\Windows\System32\wbem\WmiPrvSE.exe

复制代码

1. 冰盾拦截事件：
   
2. 
   
3. 行为: 修改进程内存
   
4. 拦截规则: 内置规则 > 高级防御 > 拦截代码注入
   
5. 响应动作: 询问（允许）
   
6. 最后一次拦截时间: 2025-12-26 23:36:44
   
7. 拦截次数: 1
   
8. 进程名称: win.exe
   
9. 进程路径: C:\Users\Public\Us\win.exe
   
10. 进程命令行: "C:\Users\Public\Us\Win.exe"
    
11. 操作目标: C:\Windows\System32\wbem\WmiPrvSE.exe

复制代码

1. 冰盾拦截事件：
   
2. 
   
3. 行为: 修改进程内存
   
4. 拦截规则: 内置规则 > 高级防御 > 拦截代码注入
   
5. 响应动作: 询问（允许）
   
6. 最后一次拦截时间: 2025-12-26 23:36:46
   
7. 拦截次数: 1
   
8. 进程名称: Shell.exe
   
9. 进程路径: C:\Users\Public\Us\Shell.exe
   
10. 进程命令行: "C:\Users\Public\Us\shell.exe"
    
11. 操作目标: C:\Windows\System32\wbem\WmiPrvSE.exe

复制代码

wwwab

superLYT 发表于 2025-12-26 23:38
BD双击ATD

借楼一用

衍生物:

wwwab

jijianan2007 发表于 2025-12-26 22:11
360双击阻止运行

借楼一用

这银狐衍生物从白加黑改用AutoHotKey了，然后ahk脚本纯裸的，甚至还有注释。。

这APC注入太明目张胆了，这脚本简直了 裸奔 裸得不能再裸了

LingGao

Microsoft Defender 不杀。

已提交分析，研究员分析结果：
“GWMeqk-itstos-2.35.msi”
Trojan:Win32/Malgent!MSR

下次更新时加入病毒库。