[Destroyer]年轻人的第一款FakeAV

hashcake

不是很想打击新开发者开发杀软的热情，但是这款“AntiVirus”实在太离谱了
遂发帖
步入正题
软件名:叶子安全中心
域名:http://yezianquanzhongxin.pages.dev/
安装包VT2/72:https://www.virustotal.com/gui/f ... bee25cb9e?nocache=1
本体VT7/72:https://www.virustotal.com/gui/f ... 100d118d47d16e2beff下载链接:https://www.123865.com/s/RqMTjv-8N8fv


下载下来，映入眼帘的便是：

【1】2026-02-24 16:53:45,病毒防护,文件实时监控,发现病毒TEST/AVEngTestFile!EICAR, 已处理


病毒名称：TEST/AVEngTestFile!EICAR
病毒ID：B1F0048FC5D96C88
病毒路径：D:\Users\Administrator\Downloads\叶子安全中心安装包.exe
操作类型：修改
操作结果：已处理，删除文件


进程ID：7548
操作进程：C:\Windows\explorer.exe
操作进程命令行：C:\WINDOWS\Explorer.EXE
父进程ID：7460
父进程：C:\Windows\System32\userinit.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>


开幕雷击
下面分为实际体验与程序逆向(@OrangeCell)部分..

实际体验进入主程序，点击全盘扫描

一上来就给我一个下马威:报毒*PNG*
在扫描过程中，每扫描一个文件，就会因为所谓"always_true"而报毒

因为是扫描时实时删除，你完全无法阻止它删掉你的文件




如果说这样还不算什么，那么接下来的Behavior将会告诉你这款"AV"的可笑之处

在我挂载了ESP后，使用自定义扫描扫描它

随后，由于规则"always_true"，ESP内的所有文件均被删除
重启后引导丢失，无法开机

随后我开始了新一轮的测试
在智量终端安全开启的情况下，使用叶子安全中心进行全盘扫描
随后开始删除系统文件，被智量盾主防Kill，威胁名WIBD:HEUR.Ransom.F

来自@OrangeCell的逆向成果:

hashcake

软件使用Pyinstaller(Py313) Onefile模式打包


查杀使用内置Yara规则与“病毒库”
病毒库原文:
[behavior_rules.json][
  {
    "name": "常见恶意进程",
    "type": "process_name",
    "names": [
      "malware.exe",
      "trojan.exe",
      "keylogger.exe",
      "miner.exe",
      "worm.exe",
      "ransomware.exe"
    ],
    "auto_terminate": true
  },
  {
    "name": "可疑进程名",
    "type": "process_name",
    "names": [
      "cmd.exe",
      "powershell.exe",
      "wscript.exe",
      "cscript.exe",
      "mshta.exe",
      "regsvr32.exe"
    ],
    "auto_terminate": false
  }

哦我的天哪，cmd怎么你了，powershell怎么你了
什么时候检测病毒用文件名检测了

[hash_db.json]{
  "md5": {},
  "sha1": {},
  "sha256": {}
}
空的！

然后是[pe_rules.json]
原文:[]
请输入文本



主程序使用TK渲染ui



《降低误报率》



这是本世纪最好的Yara Rule，查杀率100%


扫描匹配exe dll sys ocx，后缀名匹配，甚至不愿意做个DOS头检测


它会注册安全中心，顶替WD，疑似BypassAV

本世纪最低能的自保机制




注释对于Yara的解释



写注册表自启动





总结：作者的认知水平不足以支撑这款杀毒软件
整个杀软几乎全部为AI（疑似为DeepSeek）代笔
甚至作者本人没有实机测试过
对于代码中的明显问题与漏洞也视而不见
作者和DeepSeek相互瞒相互哄，他本人没有发现一点问题，就匆匆忙忙的打包发布了
最后，造就了这款WINKILLER

ababababab

刚在B站刷到这玩意

莒县小哥

Vu1pec

长大了会自己删

PhozeAMTB

WD 双击

WGC_ZY

已上报样本

lingchenheiye

deepseek在正经ai ide中 还 不 至 于 写 出 这 种 东 西，只能说可能是作者用的是网页版的ai逐个写出来的，至于是什么ai就不得而知了( 官 网 页 面 ai 味 太 冲 )，一 般ai 也不 至 于 写 出 这 么 离 谱 的 东 西 ，怕 不 是 用 的 某 问和 某 宝

123456aaaafsdeg

一眼AI

lingchenheiye

我怕过段时间f-secure把官网都给拉黑