银狐1x

xiaozhu009

https://wwbxq.lanzouq.com/iYp2w3jne65g



https://www.virustotal.com/gui/f ... cb47a5747/detection

WGC_ZY

卡巴：
Type: Trojan
Name: Backdoor.Win32.Xkcp.cek
Precision: Exactly
Threat level: High
Object type: File
Object name: AISafeSDK64.dll
Object path: C:\Users\Zhang\Downloads\【薪資調整通知】
MD5 of an object: 80CFB32B29B00D05415B4990DA151DA7


ESSP：
kill同文件。

浦北光

KSNdll不受信任，解压杀

事件: 检测到恶意对象
用户: WIN-OU3QDS5P7I8\Administrator
用户类型: 活动用户
应用程序名称: SearchProtocolHost.exe
应用程序路径: C:\Windows\System32
组件: 文件威胁防护
结果说明: 检测到
类型: 木马程序
名称: UDS:Backdoor.Win32.Xkcp.cek
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: AISafeSDK64.dll
对象路径: C:\Users\Administrator\Downloads\【薪資調整通知】
SHA256: 08F8A286B6CD9AB0291E3B0E5F5D2FDCE22024ACC167634DE0AD83BCB47A5747
MD5: 80CFB32B29B00D05415B4990DA151DA7
原因: 云保护

lingchenheiye

ESU解压杀dll

心醉咖啡

360扫描miss

ababababab

360扫描Miss
虚拟机内运行360杀毒被断网后关闭，无法再次打开

ababababab

火绒扫描Miss
运行后Kill衍生物

病毒名称：HackTool/W64.ProcessHacker.b
病毒ID：368E7D6B0EA612E6
病毒路径：C:\Users\Bilib\AppData\Local\Temp\setup.exe
操作类型：修改
操作结果：已处理，删除文件

进程ID：10888
操作进程：C:\Users\Bilib\Desktop\【薪資調整通知】\【薪資調整通知】.exe
操作进程命令行："C:\Users\Bilib\Desktop\【薪資調整通知】\【薪資調整通知】.exe"
父进程ID：5404
父进程：C:\Windows\explorer.exe

陌染淡殇

浦北光 发表于 2026-3-2 22:19
KSNdll不受信任，解压杀

事件: 检测到恶意对象

卡巴21.3，解压不报，右扫不报，右键信誉安全啊

莒县小哥

陌染淡殇 发表于 2026-3-3 10:00
卡巴21.3，解压不报，右扫不报，右键信誉安全啊

dll不受信任

wowocock

if ( (unsigned int)sub_140002990(argc, argv, envp) )

__int64 sub_140002990()
{
  __int64 v1; // rax
  __int64 v2; // rdx
  __int64 v3; // rbx
  unsigned __int8 v4; // al
  WCHAR Filename[264]; // [rsp+20h] [rbp-228h] BYREF

  memset(Filename, 0, 0x208ui64);
  GetModuleFileNameW(hModule, Filename, 0x104u);
  PathAppendW(Filename, L"..\\AISafeSDK64.dll");
  if ( (unsigned int)sub_14000B2E0(&unk_140055240, Filename) && (unsigned int)sub_14000B490(&unk_140055660, Filename) )
    return 1i64;
  v1 = sub_140008BE0(&qword_1400536A0, "    未成功初始化所有功能模块!");
  LOBYTE(v2) = 10;
  v3 = v1;
  v4 = sub_140009C90(v1 + *(int *)(*(_QWORD *)v1 + 4i64), v2);
  sub_1400099D0(v3, v4);
  sub_140007DE0(v3);
  return 0i64;
}

__int64 __fastcall sub_14000B2E0(__int64 a1, const WCHAR *a2)
{
  HMODULE LibraryW; // rax
  FARPROC AIGetFrameObject; // rsi
  __int64 result; // rax

  LibraryW = LoadLibraryW(a2);
  *(_QWORD *)(a1 + 16) = LibraryW;
  if ( !LibraryW )
    return 0i64;
  AIGetFrameObject = GetProcAddress(LibraryW, "AIGetFrameObject");
  if ( !AIGetFrameObject )
    return 0i64;
  memset((void *)(a1 + 28), 0, 0x404ui64);
  *(_DWORD *)(a1 + 24) = 1032;
  result = ((__int64 (__fastcall *)(__int64))AIGetFrameObject)(a1 + 24);
  *(_DWORD *)(a1 + 8) = result;
  return result;
}
我也是服了，在入口点直接加载当前目录下的AISafeSDK64.dll，然后调用里面的函数，现在360都成这样了，记得当年我们都要求，所有DLL禁止使用导入方式，动态加载，同时加载DLL都会调用360内部的加载验证函数验证360签名后，才能加载，不应该被利用的，我还在360的时候，都好几次发现类似的问题，督促他们去修正，现在走了后，估计也没人管了，木马都嗨起来了。