Stealer 1x

御坂14857号

https://wwbdd.lanzouu.com/iR99u3izkgdg
https://wormhole.app/ZMW3dn#YLH5PfEuuAueuBMZKUHyLg

vt：https://www.virustotal.com/gui/f ... 83c8c4758/detection
（应为2x检出，瑞星和卡巴，vt上卡巴不见了）

吃瓜群众第123位

360安全套装 kill

啊松

WGC_ZY

EIS不报，双击之后任务管理器被禁用，已上报。（要说起来ESET这点还不错，软件里有上报入口，入库速度也可以）

z80405789

AI 引擎基于以下特征组合判定该文件具有恶意倾向：

1. 未签名 (Unsigned) : 文件没有任何数字签名。对于一个 84MB 的安装包来说，没有签名是非常可疑的，且它同时具备其他高风险特征。
2. 高熵值 (High Entropy) : 代码段经过高密度加密或压缩。虽然安装包通常会被压缩，但结合其他特征，这通常用于隐藏恶意载荷（Payload）以逃避静态扫描。
3. Shellcode 模式 : 检测到类似攻击载荷的机器码模式（如 FC E8 序列），这通常是恶意软件执行注入或利用漏洞的特征。
4. 恶意导入表 (Import DNA) : 文件的 API 调用序列与已知恶意软件家族高度相似（相似度 67%），包含 OpenProcessToken 、 AdjustTokenPrivileges 等敏感权限操作。
5. 反调试 (Anti-debug) : 包含反调试指令（如 CC 断点检测），试图阻止安全人员或沙箱分析该文件。
6. 异常段结构 : PE 头或段表存在异常（如 .ndata 原始大小为 0 但虚拟大小非零），这是恶意修改或加壳文件的常见特征。

啊松

卡巴如果不扫描双击是没法拦截的

谈谈MEMZ

1. Application Information:
   
2. Source process ID: 10656
   
3. Source process name: MClient-Installer.exe
   
4. Source application location: C:\Users\User\AppData\Local\Programs\mclient-installer\MClient-Installer.exe
   
5. Source process command line: "C:\Users\User\AppData\Local\Programs\mclient-installer\MClient-Installer.exe"
   
6. Source application version: 2.1.1
   
7. Source application publisher: MClient-Installer
   
8. Source application signers:
   
9. Source process user name: N/A\User
   
10. 
    
11. 
    
12. Prevention Information:
    
13. Prevention date: 2026年2月22日
    
14. Prevention time: 23:14:42
    
15. OS version: 10.0.20348
    
16. Component: Behavioral Threat Protection
    
17. Cortex XDR code: C0400067
    
18. Prevention description: 检测到恶意行为
    
19. Verdict: 0
    
20. Quarantined: False
    
21. Post-Detected: False
    
22. Rule name: heuristic.b.disable_taskmgr
    
23. Remote actor causality ID: AdykDferQfMAACmgAAAAAA==
    

复制代码

Loyisa

AVG双击CC kill

superLYT

BDTS双击后拦截恶意命令列

成顔