[语言包新变种 X3] 点击安装简体中文语言包

谈谈MEMZ

疑似语言包新变种

通过QQ闪传分享了【temp_data.zip】
链接：https://qfile.qq.com/q/2qCgwsmZtK
VT
首传 13/72 https://www.virustotal.com/gui/f ... 923b36df4?nocache=1
首传 27/72 https://www.virustotal.com/gui/f ... c71f72300?nocache=1
首传 4/72 https://www.virustotal.com/gui/f ... 2Y6MTc3MTg1MTU4OA==

---

Cortex XDR Kill ALL

ulyanov2233

essp elg kill时间有点久

2026/2/23 20:58:06;ESET 内核;文件“点击安装简体中文语言包 (2).exe”已发送到 ESET Virus Lab 以供分析。;SYSTEM
2026/2/23 21:04:32;ESET LiveGuard;文件;C:\Users\Y8219\Downloads\点击安装简体中文语言包 (2)\点击安装简体中文语言包 (2).exe;ESET LiveGuard 特洛伊木马;已删除;FIREFLY\Y8219;;31D821343111F6F0A4C73A3CC01FA67406BAB24A;2026/2/23 20:57:27;S-1-5-21-2075981102-1163452476-1703001663-1001;

z80405789

病毒扫描报告（普通用户版）
==============================

扫描时间: 2026-02-23 21:19:57（本地时间）
扫描类型: 自定义扫描
扫描用时: 00:00:04
扫描文件: 55 个
发现威胁: 3 个
安全文件: 0 个

一眼结论
------------------------------
发现 3 个可疑文件，整体风险等级：高。

建议你先做这些
------------------------------
- 不要运行/打开下面列表里的文件。
- 在软件里对高风险项优先执行“隔离/清理”。
- 如果你已经运行过可疑文件：建议立即断网、全盘扫描，并检查是否有异常启动项。
- 如果你怀疑误报：先更新病毒库/程序版本后复扫，再考虑恢复文件。

威胁概览（先看这一页就够了）
------------------------------
- 高 | 《简体中文安装》.exe （AI/Behavioral Detection）
  建议: 优先隔离/删除，必要时全盘扫描
  主要原因: 行为评估: Level=Safe | Score=2.28 | Conf=0.85
  路径: C:\Users\11\Desktop\新建文件夹 (16)\《简体中文安装》.exe
- 高 | 点击安装简体中文语言包 (2).zip （AI/Behavioral Detection）
  建议: 优先隔离/删除，必要时全盘扫描
  主要原因: 行为评估: Level=Safe | Score=2.28 | Conf=0.85
  路径: C:\Users\11\Desktop\新建文件夹 (16)\点击安装简体中文语言包 (2).zip
- 中 | 简体中文语言包点击安装.exe （Empty File）
  建议: 建议隔离后复核（更新病毒库再复扫）
  主要原因: Local; ExtractedFile=.bss
  路径: C:\Users\11\Desktop\新建文件夹 (16)\简体中文语言包点击安装.exe

详细说明（逐个文件）
------------------------------
1. 《简体中文安装》.exe
   风险等级: 高（风险较高，建议尽快处理）
   建议操作: 优先隔离/删除，必要时全盘扫描
   文件路径: C:\Users\11\Desktop\新建文件夹 (16)\《简体中文安装》.exe
   主要原因: 行为评估: Level=Safe | Score=2.28 | Conf=0.85
   依据摘要:
   - 行为=Safe(2.28) | AI=High(0.90) | 证据=6`c2
   - 行为评估: Level=Safe | Score=2.28 | Conf=0.85
   - AI静态: Level=High | Score=0.90
   - AI决策路径: LightGBM-Clean(高置信度)
   - ML融合: Final=0.052 | Conf=0.90
   - AI指标(Top):
   - - [High] 6`c2 | 代{过}{滤}理隧道 (Score=0.75)
   - - [High] IID_IRpcProxyBuffer | 代{过}{滤}理隧道 (Score=0.75)
   - - [High] magic2 | 代{过}{滤}理隧道 (Score=0.75)
   - - [High] _ZNSt12length_errorC2B8ne200100EPKc | 代{过}{滤}理隧道 (Score=0.75)
   - - [High] _ZNSt11logic_errorC2EPKc | 代{过}{滤}理隧道 (Score=0.75)
   - - [High] _ZNSt12out_of_rangeC2B8ne200100EPKc | 代{过}{滤}理隧道 (Score=0.75)

2. 点击安装简体中文语言包 (2).zip
   风险等级: 高（风险较高，建议尽快处理）
   建议操作: 优先隔离/删除，必要时全盘扫描
   文件路径: C:\Users\11\Desktop\新建文件夹 (16)\点击安装简体中文语言包 (2).zip
   主要原因: 行为评估: Level=Safe | Score=2.28 | Conf=0.85
   依据摘要:
   - 行为=Safe(2.28) | AI=High(0.90) | 证据={c2O
   - 行为评估: Level=Safe | Score=2.28 | Conf=0.85
   - AI静态: Level=High | Score=0.90
   - AI决策路径: LightGBM-Clean(高置信度)
   - ML融合: Final=0.053 | Conf=0.89
   - AI指标(Top):
   - - [High] {c2O | 代{过}{滤}理隧道 (Score=0.75)
   - - [High] )c22b | 代{过}{滤}理隧道 (Score=0.75)
   - - [High] uvc2 | 代{过}{滤}理隧道 (Score=0.75)
   - - [High] n[c2 | 代{过}{滤}理隧道 (Score=0.75)
   - - [High] frP] | 代{过}{滤}理隧道 (Score=0.75)
   - - [High] 5c2LS | 代{过}{滤}理隧道 (Score=0.75)

3. 简体中文语言包点击安装.exe
   风险等级: 中（可疑，需要谨慎对待）
   建议操作: 建议隔离后复核（更新病毒库再复扫）
   文件路径: C:\Users\11\Desktop\新建文件夹 (16)\简体中文语言包点击安装.exe
   主要原因: Local; ExtractedFile=.bss
   依据摘要:
   - 空文件可能是恶意软件的占位符
   - Local; ExtractedFile=.bss
   - 检测方式: 哈希匹配

名词解释（不用懂也能处理）
------------------------------
- 风险等级: 越高越可能有害，越应该优先隔离/删除。
- 置信度: 检测结果“把握程度”，不是 100% 的对错判定。
- 隔离: 把文件移动到隔离区，防止运行，同时便于误报时恢复。

momli

360扫描kill all

啊松

卡巴扫描杀一个pdm杀一个

xiaozhu009

这些都是tg上面找到的吗还是推广

WGC_ZY

ESSP：监控x1：C:\Users\Zhang\Downloads\temp_data\《简体中文安装》.exe;a variant of Win64/TrojanDownloader.Agent.CPE trojan;cleaned by deleting
另外两个ELG，其中1个kill，另一个返回结果为安全：ESET LiveGuard;file;C:\Users\Zhang\Downloads\temp_data\点击安装简体中文语言包 (2).exe;ESET LiveGuard trojan;deleted
双击剩余的1个结果如图（已上报样本）：

卡巴：监控x1、PDMx1、回滚x1

莒县小哥

xjwtzq

安天拦截3  奇安信miss1

superLYT

BDTS右键kill两个，剩余一个双击ATD