FakeAPP 1x

UNknownOoo

https://wormhole.app/QW4yxx#X9OKJ-0yb4__RwQUXk0zuw
https://share.weiyun.com/yq3ir5oT

1. "C:\Windows\system32\regsvr32.exe" /u /s C:\Users\UnknownOoo\Music\AdwareMusic\index.html

复制代码

scottxzt

很快会报

WGC_ZY

卡巴扫描不报，双击如图

心醉咖啡

360扫描miss

莒县小哥

Myrenaser

红伞
嗯？单纯扫.msi扫不出，把带毒的程序单独伶出来就立马扫出

c199529

腾讯电脑管家18
Ver:20260204

不报毒

superLYT

双击ATD

潇湘剑雨

总体判断

  - 样本是典型“白加黑”组合：正规主程序 + 隐蔽下载/执行器。
  - 隐蔽部分通过 MSI 自定义动作执行，下载外部载荷并用 regsvr32 触发 DLL 逻辑。

  ———

  MSI 层面

  - 文件：D:\exe\YoudaoDictSetup.msi
  - SHA256：8DCEF97038768CED9D04368AAFD4E9E11CF40F11F3394C411468090EB36ECF96
  - 构建工具：Advanced Installer 19.7
  - 产品：有道翻译，厂商：有道
  - 安装时执行自定义动作：YoudaoDictSetup.exe（Type 1042，InstallExecuteSequence: 6401）

  ———

  安装载荷

  1. YoudaoDict.exe
      - 已签名：NetEase Youdao Information Technology (Beijing) Co.,Ltd.
      - FileVersion: 11.2.14.0
      - SHA256: 9E741B25D010A5F54A80113559558B4FDE6483E04E5B023F04F5F151AE4308D1
  2. YoudaoDictSetup.exe（关键）
      - 未签名，.NET Framework 4.5，伪造时间戳
      - SHA256: 4AEFF745CFE1B8DB2737A8712E89ED5324F0F2FA47B23FF1E87664BF9BF3B058
      - 行为（反编译确认）：
          - 下载：
              - https://rqm4tv7s.s3-accelerate.amazonaws.com/components/index.db
              - https://rqm4tv7s.s3-accelerate.a ... oleAutoLinkMulti.db
          - 落地：
              - %USERPROFILE%\Music\AdwareMusic\index.html
              - %USERPROFILE%\Music\AdwareMusic\info.db
          - 隐藏目录：Hidden | System
          - 执行：regsvr32.exe /u /s <index.html>
          - 关闭证书校验，循环重试下载

  ———

  远程载荷（静态拉取）

  1. index.db
      - SHA256: DFA9240C55FF48C6237061A80EB5C52CCD2033F18900C14CBB6EBE85AEDBE462
      - 实际为 64-bit DLL（伪装成 .db）
      - 导出：DllUnregisterServer、CPlApplet、大量 sqlite3_* API
      - 通过 regsvr32 /u 触发 DllUnregisterServer
      - 有明显 loader/壳特征：
          - 动态解析 API（GetProcAddress + 动态构造字符串）
          - 处理 api-ms- / ext-ms- 的 LoadLibraryExW 路径
          - VirtualProtect 修改 .fptable 段
          - File I/O（CreateFileW/ReadFile/WriteFile）但无明文路径
  2. ConsoleAutoLinkMulti.db
      - SHA256: A36E8D4BF5F2A9DD8055DC15565586CFBB720BF0241E496227079D0E12CA1377
      - 高熵 blob，非 SQLite / 非 PE
      - 可能为加密配置或数据，供 index.db 解密使用

  ———

  IOC 汇总

  - URL：
      - https://rqm4tv7s.s3-accelerate.amazonaws.com/components/index.db
      - https://rqm4tv7s.s3-accelerate.a ... oleAutoLinkMulti.db
  - 文件路径：
      - %USERPROFILE%\Music\AdwareMusic\index.html
      - %USERPROFILE%\Music\AdwareMusic\info.db
  - 命令：
      - regsvr32.exe /u /s "%USERPROFILE%\Music\AdwareMusic\index.html"

潇湘剑雨

- ConsoleAutoLinkMulti.db 高熵（≈7.994），明显是加密/强压缩数据。
  - 尝试基于已知压缩头（LZ4/Zlib/Gzip）做 XOR/加减还原：
      - 未找到简单 XOR/加减（key 长度 ≤4）可复原有效压缩头。
      - 发现 key 长度 8 的 XOR 可以构造出合法 LZ4 头：
          - Key: 22 AC AF 46 CC 6F 00 00
          - 但解出的数据块尺寸非法，LZ4 解压失败 → 说明这是伪命中或数据还需二次解密/解码。
  - 在 index.db 中检测到 AES S-box，强烈暗示该 DLL 内部有 AES/对称加密实现，ConsoleAutoLinkMulti.db 很可能使用此算法解
    密。
  - 发现完整 AES S-box 与 Rcon 表：
      - S-box 位于 0x180121170，Rcon 位于 0x180121140
  - 函数 fcn.180004cc8 明确是 AES Key Expansion：
      - 只接受 key 长度 0x10/0x18/0x20（16/24/32 字节）
      - 非法长度报错字符串：Invalid key size
  - 调用者在 0x18001fb5c 附近：
      - 先做 key schedule，随后按 16 字节块进行 XOR/轮变换
      - 行为非常符合 AES-CBC 解密 的控制流

  => 说明 ConsoleAutoLinkMulti.db 很大概率是 AES 加密配置/数据，需从 DLL 里提取 key/IV 才能解密。

  ———

  动态执行（隔离 + 联网）

  - 执行命令：
    regsvr32 /u /s D:\exe\_dynamic\index.html（index.db 重命名）
  - 文件：
    D:\exe\_dynamic\index.html + D:\exe\_dynamic\info.db 同目录
  - 网络连接（TLS 443）：
      - 3.165.95.15:443（多次建立连接）
  - 监控目录内未看到新增文件：
      - D:\exe\_dynamic
      - %USERPROFILE%\Music\AdwareMusic
      - %TEMP%

  => 动态表现以联网为主，未直接落地新文件（短时观察）。
  
  - AES key schedule 在 index.db 的 fcn.180004cc8，唯一直接调用点在 0x18001fb5c，属于更大的解密流程（起点
    0x18001fac0），表现为 CBC 类似的分组处理（16 字节块 + XOR）。
  - .text 中未发现对 0x18001fac0 的直接 call，可能是间接调用/函数指针/SQLite 相关路径触发。
  - 未发现 info.db / ConsoleAutoLinkMulti.db / 路径字符串；也没有 16/24/32 字节明文密钥字符串或明显的 hex 密钥串。

暂时只发现这么多 我这本地不具备进一步调试条件 看起来又是一个联网才能完全解密的样本 大佬接力