新病毒样本：冒充某聊天软件语言包

哈哈大侠

说多了都是泪，某聊天软件没有中文，按照ai指引去找语言包，说是有第三方维护的，

结果一时不查，进了第一个结果：
是一个随机英文字母作为id的频道（当时应该反映过来的，奈何文案看着挺正规，人脑有有时候就是这么逗比）。

名字是全中文的，我的警惕感已经有一点起来了，

望着火绒对它没反应（事后对它扫描也没反应）。我打开了，一分钟过去，没有界面弹出，心里基本已经确认是病毒了，奈何火绒还是不提示。
我可能是用了一个假的火绒，唉，说多了都是泪。

同步上传到VT，多个杀毒引擎报毒，哦豁，看不懂是什么类型的毒
https://www.virustotal.com/gui/file/f7b7cbb138c0264587c6978ebe89a66ff62b7378015bccf8cb7227049c38f255/behavior
我是第一个上传的，VT报毒17/72

然后等了好一会，VT的沙箱才给出结果，一看，哦豁，伪装成系统相关的术语，是病毒没跑了，于是拿出了已经锈迹斑斑的Process Explorer，杀杀杀，拿出上古时代的autoruns去掉新增的启动项。

根据沙箱的报告，它连接了某个tcp端口……

这会是什么类型的毒啊。

想安装个360对内存扫一下，半年没重启机器了，怕有残留。

通过网盘分享的文件：病毒样本，不要打开，密码infected.zip
链接: https://pan.baidu.com/s/1Ofs4UTiz78oJyP8j3pcm8w?pwd=1024
提取码: 1024

压缩包，通用密码infected

心醉咖啡

360

superLYT

别用百度网盘啊

pal家族

事件: 对象已删除
用户: 小之之的微星\72428
用户类型: 发起者
应用程序名称: WinRAR.exe
应用程序路径: C:\Program Files\WinRAR
组件: 文件反病毒
结果描述: 已删除
类型: 木马
名称: HEUR:Trojan.Win64.Goshell.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: 点击此处安装语言包.exe
对象路径: E:\virus111
对象的 MD5: CDBF4898761D1B31F85EBB8ADF6BFE44

哈哈大侠

superLYT 发表于 2025-12-28 00:50
别用百度网盘啊

百度是有什么说法吗？

LingGao

Microsoft Defender 不杀。

已提交分析，微软研究员分析结果：恶意软件
“点击此处安装语言包.exe”

下次更新时加入病毒库。

superLYT

哈哈大侠 发表于 2025-12-28 01:48
百度是有什么说法吗？

太慢了，可以用蓝奏云呀

jxfaiu

双击

22222221

谁能分个流

xjwtzq

奇安信miss