══════════════════════════════════════════════════
LlmAntivirus 扫描报告
══════════════════════════════════════════════════
时间: 2026-04-08 02:19:45
共 16 个文件 | 威胁 15 | 安全 1
⚠ 声明:本检测结果由纯 AI 生成检测技术提供(主 Opus 4.6,GPT 5.4、
小米 MiMo v2 Pro free 辅助),以测试 AI 写代码能力极限为目标。
结果仅供参考,请注意甄别。
── 威胁文件 ──────────────────────────────────────
[1] 点击此处安装语言包.msi (Critical, 评分95.0)
威胁名称: Backdoor:Win32/CobaltStrike.W!sig
检测引擎: signature_engine
路径: C:\Users\hfgh\Desktop\Mal-14X\点击此处安装语言包.msi
哈希: 48806616fa956b070e02782dda7fe9fad16b08e9eac801bb0c9a80230e294460
家族: CobaltStrike, Rubeus
签名: 未签名
LLM推理: 签名引擎确定性检出: Backdoor:Win32/CobaltStrike.W!sig
评分明细: 熵=0.0 API=5.0 字符串=10.0 异常=0.0
特征规则: 2条 (CobaltStrike_Config, Rubeus_Strings)
结构异常: 1处 (签名检出: Backdoor:Win32/CobaltStrike.W!sig)
危险API: 1组 (SelfDelete)
VirusTotal: 24/70引擎检出 (34%)
家族: trojan.cerbu/misc, cerbu, misc
引擎: MicroWorld-eScan=Gen:Variant.Cerbu.272462, Malwarebytes=HackTool.BypassUAC, BitDefender=Gen:Variant.Cerbu.272462, Symantec=ML.Attribute.HighConfidence, Paloalto=generic.ml
HybridAnalysis: 评分88/100, 判定=malicious
家族: Cerbu.Generic
标签: windows-server-utility
沙箱: 1进程, 1网络连接, 264行为签名
ATT&CK: T1106 Native API, T1059.007 JavaScript, T1053 Scheduled Task/Job, T1129 Shared Modules, T1059.003 Windows Command Shell
──────────────────────────────────────
[2] 点击此处安装中文语言包.II.exe (Critical, 评分90.0)
威胁名称: Ransom:Win32/Ransomware_Combo.U!sig
检测引擎: signature_engine
路径: C:\Users\hfgh\Desktop\Mal-14X\点击此处安装中文语言包.II.exe
哈希: e7b8e590da8e33c3aa2690d44ff7c841f6032c92ea67d4b80fecf8bd9840290b
家族: Rubeus, LNK_Dropper
签名: 未签名
LLM推理: 签名引擎确定性检出: Ransom:Win32/Ransomware_Combo.U!sig
评分明细: 熵=20.0 API=0.0 字符串=20.0 异常=5.0
熵值: 7.28
特征规则: 6条 (Ransomware_Extensions, Rubeus_Strings, LNK_FolderSpoof)
结构异常: 2处 (签名检出: Ransom:Win32/Ransomware_Combo.U!sig, PE compile timestamp is zeroed (may be Go/Rust binary))
VirusTotal: 24/70引擎检出 (34%)
家族: trojan.cerbu/misc, cerbu, misc
引擎: MicroWorld-eScan=Gen:Variant.Cerbu.272462, Malwarebytes=HackTool.BypassUAC, BitDefender=Gen:Variant.Cerbu.272462, Symantec=ML.Attribute.HighConfidence, Paloalto=generic.ml
HybridAnalysis: 评分88/100, 判定=malicious
家族: Cerbu.Generic
标签: windows-server-utility
沙箱: 1进程, 1网络连接, 264行为签名
ATT&CK: T1106 Native API, T1059.007 JavaScript, T1053 Scheduled Task/Job, T1129 Shared Modules, T1059.003 Windows Command Shell
──────────────────────────────────────
[3] scan_report_20260408_013927.txt (High, 评分0.0)
检测引擎: 手动扫描
路径: C:\Users\hfgh\Desktop\Mal-14X\scan_report_20260408_013927.txt
哈希: dbe47d8b127c7cf6df345df6d9a10674532689db940eb10bcc3cbee54a78126b
耗时: 109ms
家族: trojan.filerepmalware/injuke
威胁类型: 勒索病毒
威胁摘要: 勒索病毒: Ryuk
ATT&CK: Data Encrypted for Impact, Inhibit System Recovery, Disable or Modify Tools, Disable or Modify Tools, Data Encrypted for Impact
推理链:
证据收集: benign (0%)
收集 15 条证据 (静态=1, 知识=13, 历史=1)
初步筛查: benign (44%)
融合结果: P(恶意)=44%, P(良性)=0%, 冲突度=0.00
假说推理: suspicious (25%)
候选假说 5 个:
[KnownFamily] 该文件是 Ryuk (针对性勒索软件,常由 TrickBot/BazarLoader 投递) → P=0.251
[KnownFamily] 该文件是 LockBit (勒索软件即服务(RaaS),快速加密+双重勒索(加密+泄露数据)) → P=0.251
[KnownFamily] 该文件是 BlackCat (ALPHV/BlackCat 勒索软件,Rust编写,跨平台,三重勒索) → P=0.251
[KnownTechnique] 该文件使用 T1486 Data Encrypted for Impact 技术 (阶段: impact) → P=0.236
...(共6行)
批判审查: benign (71%)
【审查警告】
[NoCrossValidation] 发现 14 条恶意证据但无一被交叉验证
置信度调整: -0.29
专家裁决: benign (39%)
检测到可疑特征,疑似 Ryuk。
可疑位置:
历史相似案例 5 件: 5 恶意, 0 良性, 0 误报
知识图谱匹配: Ryuk (匹配度=94.0)
知识图谱匹配: LockBit (匹配度=94.0)
...(共9行)
建议: [学习建议] 近期发现 5 个知识盲区,建议补充相关威胁情报; 存在证据冲突或高误报风险,建议安全人员人工确认; 建议人工复核此文件
评分明细: 熵=0.0 API=0.0 字符串=45.0 异常=0.0
VirusTotal: 21/71引擎检出 (30%)
家族: trojan.filerepmalware/injuke, filerepmalware, injuke, misc
引擎: Bkav=W64.AIDetectMalware, Sangfor=Trojan.Win32.Agent.Va6a, CrowdStrike=win/malicious_confidence_70% (W), Symantec=ML.Attribute.HighConfidence, Elastic=malicious (high confidence)
──────────────────────────────────────
[4] 点击安装中文语言包a.exe (High, 评分1.0)
检测引擎: 手动扫描
路径: C:\Users\hfgh\Desktop\Mal-14X\点击安装中文语言包a.exe
哈希: 28392f4d3e72e72577eb21f45021b3859465fc1e01f68ad06868fe3587fd48a0
耗时: 6ms
家族: trojan.filerepmalware/injuke
签名: 未签名
威胁类型: 勒索病毒
威胁摘要: 勒索病毒: Ryuk
ATT&CK: Data Encrypted for Impact, Inhibit System Recovery, Disable or Modify Tools, Disable or Modify Tools, Data Encrypted for Impact
推理链:
证据收集: benign (0%)
收集 14 条证据 (静态=3, 知识=10, 历史=1)
初步筛查: suspicious (58%)
融合结果: P(恶意)=58%, P(良性)=0%, 冲突度=0.00
假说推理: malicious (21%)
候选假说 6 个:
[KnownFamily] 该文件是 Ryuk (针对性勒索软件,常由 TrickBot/BazarLoader 投递) → P=0.208
[KnownFamily] 该文件是 LockBit (勒索软件即服务(RaaS),快速加密+双重勒索(加密+泄露数据)) → P=0.208
[KnownTechnique] 该文件使用 T1562.001 Disable or Modify Tools 技术 (阶段: defense-evasion) → P=0.192
[KnownTechnique] 该文件使用 T1497 Virtualization/Sandbox Evasion 技术 (阶段: defense-evasion) → P=0.192
...(共6行)
批判审查: benign (72%)
【审查警告】
[NoCrossValidation] 发现 13 条恶意证据但无一被交叉验证
置信度调整: -0.28
专家裁决: suspicious (44%)
检测到可疑特征,疑似 Ryuk。
可疑位置:
历史相似案例 5 件: 5 恶意, 0 良性, 0 误报
知识图谱匹配: Ryuk (匹配度=94.0)
知识图谱匹配: LockBit (匹配度=94.0)
...(共9行)
建议: [学习建议] 近期发现 5 个知识盲区,建议补充相关威胁情报; 证据不足,建议人工审查; 暂时监控该文件的行为
评分明细: 熵=0.0 API=5.0 字符串=1.0 异常=0.0
危险API: 1组 (ShellExecution)
VirusTotal: 21/71引擎检出 (30%)
家族: trojan.filerepmalware/injuke, filerepmalware, injuke, misc
引擎: Bkav=W64.AIDetectMalware, Sangfor=Trojan.Win32.Agent.Va6a, CrowdStrike=win/malicious_confidence_70% (W), Symantec=ML.Attribute.HighConfidence, Elastic=malicious (high confidence)
HybridAnalysis: 评分100/100, 判定=malicious
家族: Win/malicious_confidence_70%
标签: windows-server-utility, suspicious
沙箱: 16进程, 4网络连接, 377行为签名
ATT&CK: T1566 Phishing, T1106 Native API, T1059.003 Windows Command Shell, T1059.001 PowerShell, T1559 Inter-Process Communication
──────────────────────────────────────
[5] 点击安装简体中文包.exe (High, 评分1.6)
威胁名称: TrojanDropper:Win32/Dropper_Resource.N!sig
检测引擎: 手动扫描
路径: C:\Users\hfgh\Desktop\Mal-14X\点击安装简体中文包.exe
哈希: f0bef253c2cdda5a57626ba6e746582f72b0d6680f4d6d943a51ea448caf4362
耗时: 22ms
家族: trojan.fugrafa/agentb
签名: 无效 (声称: Microsoft Corporation)
威胁类型: 勒索病毒
威胁摘要: 勒索病毒: LockBit
ATT&CK: Data Encrypted for Impact, Inhibit System Recovery, System Information Discovery, Disable or Modify Tools, SMB/Windows Admin Shares
推理链:
证据收集: benign (0%)
收集 27 条证据 (静态=6, 知识=20, 历史=1)
初步筛查: malicious (72%)
融合结果: P(恶意)=72%, P(良性)=0%, 冲突度=0.00
假说推理: malicious (14%)
候选假说 8 个:
[KnownFamily] 该文件是 NjRAT (开源.NET远控木马,功能包括键盘记录/摄像头/文件管理) → P=0.144
[KnownFamily] 该文件是 LockBit (勒索软件即服务(RaaS),快速加密+双重勒索(加密+泄露数据)) → P=0.144
[KnownFamily] 该文件是 DarkComet (远控木马,支持键盘记录/远程桌面/文件传输) → P=0.144
[KnownTechnique] 该文件使用 T1497 Virtualization/Sandbox Evasion 技术 (阶段: defense-evasion) → P=0.144
...(共6行)
批判审查: benign (65%)
【审查警告】
[NoCrossValidation] 发现 26 条恶意证据但无一被交叉验证
置信度调整: -0.35
专家裁决: suspicious (43%)
检测到可疑特征,疑似 LockBit。
可疑位置:
恶意软件签名匹配 (分数=72)
文件结构: 熵值 6.743 (偏高)
知识图谱匹配: NjRAT (匹配度=188.0)
...(共9行)
建议: [学习建议] 近期发现 5 个知识盲区,建议补充相关威胁情报; 暂时监控该文件的行为; 存在证据冲突或高误报风险,建议安全人员人工确认
评分明细: 熵=0.0 API=8.0 字符串=1.0 异常=0.0
特征规则: 1条 (Dropper_Resource)
危险API: 1组 (RegistryPersistence)
VirusTotal: 36/69引擎检出 (52%)
家族: trojan.fugrafa/agentb, fugrafa, agentb
引擎: Lionic=Trojan.Win32.Agentb.X!c, MicroWorld-eScan=Gen:Variant.Fugrafa.352874, CTX=exe.trojan.generic, CAT-QuickHeal=Trojan.Ghanarava.177442803549b898, ALYac=Gen:Variant.Fugrafa.352874
HybridAnalysis: 评分0/100, 判定=malicious
家族: Fugrafa.Generic
──────────────────────────────────────
[6] 点击安装中文语言包 (4).exe (High, 评分1.4)
威胁名称: TrojanDropper:Win32/Dropper_Resource.N!sig
检测引擎: 手动扫描
路径: C:\Users\hfgh\Desktop\Mal-14X\点击安装中文语言包 (4).exe
哈希: b9b396a790992342395afcc8619fc71cc876a6043b9444b91a8c676ad032994e
耗时: 16ms
家族: trojan.beit/sheloader
签名: 未签名
威胁类型: 攻击工具
威胁摘要: 攻击技术: T1055
ATT&CK: T1055
推理链:
证据收集: benign (0%)
收集 14 条证据 (静态=9, 知识=4, 历史=1)
初步筛查: benign (73%)
融合结果: P(恶意)=33%, P(良性)=47%, 冲突度=0.14
假说推理: suspicious (26%)
候选假说 5 个:
[KnownTechnique] 该文件使用 T1497 Virtualization/Sandbox Evasion 技术 (阶段: defense-evasion) → P=0.259
[KnownTechnique] 该文件使用 T1622 Debugger Evasion 技术 (阶段: defense-evasion) → P=0.259
[KnownTechnique] 该文件使用 T1055 Process Injection 技术 (阶段: defense-evasion) → P=0.259
[NovelThreat] 该文件可能是未知新型威胁 (不匹配任何已知家族) → P=0.213
...(共6行)
批判审查: benign (73%)
【审查警告】
[NoCrossValidation] 发现 12 条恶意证据但无一被交叉验证
置信度调整: -0.27
专家裁决: benign (39%)
检测到可疑特征,疑似 未知威胁。
可疑位置:
恶意软件签名匹配 (分数=75)
文件结构: 节区 .rsrc 熵值 7.49
文件结构: 熵值 6.683 (偏高)
...(共11行)
建议: [学习建议] 近期发现 5 个知识盲区,建议补充相关威胁情报; 存在证据冲突或高误报风险,建议安全人员人工确认; 建议人工复核此文件
评分明细: 熵=5.0 API=5.0 字符串=1.0 异常=0.0
特征规则: 2条 (Screenshot_Capture, Dropper_Resource)
危险API: 3组 (ShellExecution, ScreenCapture)
VirusTotal: 12/71引擎检出 (17%)
家族: trojan.beit/sheloader, beit, sheloader
引擎: Bkav=W32.AIDetectMalware, Sangfor=Trojan.Win32.Silverfox.Cont, CrowdStrike=win/malicious_confidence_70% (D), Symantec=ML.Attribute.HighConfidence, APEX=Malicious
HybridAnalysis: 评分76/100, 判定=malicious
家族: Win/malicious_confidence_70%
标签: evasive
沙箱: 4进程, 187行为签名
ATT&CK: T1106 Native API, T1559 Inter-Process Communication, T1059.003 Windows Command Shell, T1129 Shared Modules, T1112 Modify Registry
──────────────────────────────────────
[7] 点击安装简体中文语言包 .exe (High, 评分2.0)
检测引擎: 手动扫描
路径: C:\Users\hfgh\Desktop\Mal-14X\点击安装简体中文语言包 .exe
哈希: 9c65e06952264ef595c00605716447713cc6cf7ee944c3d4eb09bf28b5fc0d3b
耗时: 8ms
家族: trojan.bundler/mediaarena
签名: 无效 (声称: Jiangxia Information Technology (Huizhou) Co., Ltd.)
威胁类型: 窃密木马
威胁摘要: 窃密木马: TrickBot
ATT&CK: OS Credential Dumping, Process Injection, Web Protocols, System Information Discovery, Web Protocols
推理链:
证据收集: benign (0%)
收集 26 条证据 (静态=5, 知识=20, 历史=1)
初步筛查: suspicious (58%)
融合结果: P(恶意)=58%, P(良性)=0%, 冲突度=0.00
假说推理: malicious (14%)
候选假说 8 个:
[KnownFamily] 该文件是 TrickBot (模块化银行木马,具有横向移动和凭证窃取能力) → P=0.144
[KnownFamily] 该文件是 Remcos (商业远控木马) → P=0.144
[KnownFamily] 该文件是 Agent Tesla (信息窃取木马,窃取浏览器/邮件/FTP 凭证) → P=0.143
[KnownTechnique] 该文件使用 T1497 Virtualization/Sandbox Evasion 技术 (阶段: defense-evasion) → P=0.142
...(共6行)
批判审查: benign (65%)
【审查警告】
[NoCrossValidation] 发现 26 条恶意证据但无一被交叉验证
置信度调整: -0.35
专家裁决: suspicious (40%)
检测到可疑特征,疑似 TrickBot。
可疑位置:
文件结构: 节区 .rsrc 熵值 7.41
文件结构: 熵值 6.566 (偏高)
知识图谱匹配: TrickBot (匹配度=94.0)
...(共9行)
建议: [学习建议] 近期发现 5 个知识盲区,建议补充相关威胁情报; 证据不足,建议人工审查; 暂时监控该文件的行为
评分明细: 熵=5.0 API=8.0 字符串=0.0 异常=0.0
危险API: 1组 (RegistryPersistence)
VirusTotal: 19/72引擎检出 (26%)
家族: trojan.bundler/mediaarena, bundler, mediaarena, midie
引擎: MicroWorld-eScan=Gen:Variant.Application.Bundler.MediaArena.Midie.1, ALYac=Gen:Variant.Application.Bundler.MediaArena.Midie.1, VIPRE=Gen:Variant.Application.Bundler.MediaArena.Midie.1, BitDefender=Gen:Variant.Application.Bundler.MediaArena.Midie.1, CrowdStrike=win/malicious_confidence_70% (D)
──────────────────────────────────────
[8] 点击安装中文汉化语言包.msi (High, 评分80.0)
威胁名称: TrojanDropper:Win32/HTA_Malicious.A!sig
检测引擎: signature_engine
路径: C:\Users\hfgh\Desktop\Mal-14X\点击安装中文汉化语言包.msi
哈希: 3174ab3322f1ea5c5b7a7a86bff169294af09cb76730870f1e097a66675e736f
LLM推理: 签名引擎确定性检出: TrojanDropper:Win32/HTA_Malicious.A!sig
评分明细: 熵=65.0 API=0.0 字符串=0.0 异常=0.0
熵值: 8.00
特征规则: 2条 (VBS_Downloader, HTA_Malicious)
结构异常: 2处 (签名检出: TrojanDropper:Win32/HTA_Malicious.A!sig, [ole_deep] OLE Package 含危险文件类型: .exe)
VirusTotal: 19/72引擎检出 (26%)
家族: trojan.bundler/mediaarena, bundler, mediaarena, midie
引擎: MicroWorld-eScan=Gen:Variant.Application.Bundler.MediaArena.Midie.1, ALYac=Gen:Variant.Application.Bundler.MediaArena.Midie.1, VIPRE=Gen:Variant.Application.Bundler.MediaArena.Midie.1, BitDefender=Gen:Variant.Application.Bundler.MediaArena.Midie.1, CrowdStrike=win/malicious_confidence_70% (D)
──────────────────────────────────────
[9] 点击安装中文语言包a.msi (High, 评分80.0)
威胁名称: TrojanDropper:Win32/HTA_Malicious.A!sig
检测引擎: signature_engine
路径: C:\Users\hfgh\Desktop\Mal-14X\点击安装中文语言包a.msi
哈希: 8b3a49e89932a7c371ceca9ecbc6c0151e38dc97c191f7a0aa92a8baa8b6e8ab
LLM推理: 签名引擎确定性检出: TrojanDropper:Win32/HTA_Malicious.A!sig
评分明细: 熵=65.0 API=0.0 字符串=0.0 异常=0.0
熵值: 8.00
特征规则: 2条 (VBS_Downloader, HTA_Malicious)
结构异常: 2处 (签名检出: TrojanDropper:Win32/HTA_Malicious.A!sig, [ole_deep] OLE Package 含危险文件类型: .exe)
VirusTotal: 19/72引擎检出 (26%)
家族: trojan.bundler/mediaarena, bundler, mediaarena, midie
引擎: MicroWorld-eScan=Gen:Variant.Application.Bundler.MediaArena.Midie.1, ALYac=Gen:Variant.Application.Bundler.MediaArena.Midie.1, VIPRE=Gen:Variant.Application.Bundler.MediaArena.Midie.1, BitDefender=Gen:Variant.Application.Bundler.MediaArena.Midie.1, CrowdStrike=win/malicious_confidence_70% (D)
──────────────────────────────────────
[10] 点击安装中文语言包A(1).exe (High, 评分85.0)
威胁名称: HackTool:Win32/Rubeus.T!sig
检测引擎: signature_engine
路径: C:\Users\hfgh\Desktop\Mal-14X\点击安装中文语言包A(1).exe
哈希: 91e943115ed67811caefe55bef813447414f168dcb1a594cc0b44103d68380e5
家族: Rubeus
签名: 无效 (声称: Zoom Video Communications Inc)
LLM推理: 签名引擎确定性检出: HackTool:Win32/Rubeus.T!sig
评分明细: 熵=0.0 API=5.0 字符串=24.0 异常=0.0
特征规则: 2条 (Shellcode_NopSled, Rubeus_Strings)
结构异常: 1处 (签名检出: HackTool:Win32/Rubeus.T!sig)
危险API: 1组 (SelfDelete)
VirusTotal: 11/70引擎检出 (16%)
家族: trojan.cerbu, cerbu
引擎: MicroWorld-eScan=Gen:Variant.Cerbu.272462, CTX=exe.unknown.cerbu, BitDefender=Gen:Variant.Cerbu.272462, Arcabit=Trojan.Cerbu.D4284E, Symantec=ML.Attribute.HighConfidence
HybridAnalysis: 评分87/100, 判定=malicious
家族: Cerbu.Generic
标签: windows-server-utility
──────────────────────────────────────
[11] 点击安装简体中文语言包 (6).exe (High, 评分0.0)
检测引擎: 手动扫描
路径: C:\Users\hfgh\Desktop\Mal-14X\点击安装简体中文语言包 (6).exe
哈希: 2f4867af39270eb87757f810013ba921bf56a650cabe113dcb1bcbc271f2ccb3
耗时: 12ms
家族: trojan.cerbu
签名: 未签名
威胁类型: 远控木马
威胁摘要: 远控木马: Cobalt Strike
ATT&CK: Process Hollowing, Web Protocols, PowerShell, Native API, Web Protocols
推理链:
证据收集: benign (0%)
收集 11 条证据 (静态=6, 知识=4, 历史=1)
初步筛查: suspicious (58%)
融合结果: P(恶意)=58%, P(良性)=0%, 冲突度=0.00
假说推理: malicious (31%)
候选假说 5 个:
[KnownFamily] 该文件是 Cobalt Strike (商业渗透测试工具,常被攻击者滥用,特征为 Beacon 回连) → P=0.313
[KnownTechnique] 该文件使用 T1055 Process Injection 技术 (阶段: defense-evasion) → P=0.260
[KnownTechnique] 该文件使用 T1055.003 Thread Execution Hijacking 技术 (阶段: defense-evasion) → P=0.228
[KnownTechnique] 该文件使用 mitre_t1134 T1134: Access Token Manipulation 技术 (阶段: unknown) → P=0.187
...(共6行)
批判审查: benign (77%)
【审查警告】
[NoCrossValidation] 发现 8 条恶意证据但无一被交叉验证
置信度调整: -0.23
专家裁决: suspicious (47%)
检测到可疑特征,疑似 Cobalt Strike。
可疑位置:
历史相似案例 5 件: 5 恶意, 0 良性, 0 误报
文件结构: 熵值 6.575 (偏高)
知识图谱匹配: Cobalt Strike (匹配度=94.0)
...(共9行)
建议: [学习建议] 近期发现 5 个知识盲区,建议补充相关威胁情报; 证据不足,建议人工审查; 暂时监控该文件的行为
评分明细: 熵=0.0 API=0.0 字符串=8.0 异常=0.0
VirusTotal: 11/70引擎检出 (16%)
家族: trojan.cerbu, cerbu
引擎: MicroWorld-eScan=Gen:Variant.Cerbu.272462, CTX=exe.unknown.cerbu, BitDefender=Gen:Variant.Cerbu.272462, Arcabit=Trojan.Cerbu.D4284E, Symantec=ML.Attribute.HighConfidence
HybridAnalysis: 评分87/100, 判定=malicious
家族: Cerbu.Generic
标签: windows-server-utility
沙箱: 1进程, 1网络连接, 265行为签名
ATT&CK: T1106 Native API, T1059.007 JavaScript, T1053 Scheduled Task/Job, T1059.003 Windows Command Shell, T1129 Shared Modules
──────────────────────────────────────
[12] 点击此处切换简体中文语言__.exe (High, 评分0.0)
检测引擎: 手动扫描
路径: C:\Users\hfgh\Desktop\Mal-14X\点击此处切换简体中文语言__.exe
哈希: 26ab095109deba210323ff03c72d8ecec9c33c7215b530d2acd00ccaa0053edb
耗时: 7ms
家族: trojan.cerbu/misc
签名: 未签名
威胁类型: 远控木马
威胁摘要: 远控木马: Cobalt Strike
ATT&CK: Process Hollowing, Web Protocols, PowerShell, Native API, Web Protocols
推理链:
证据收集: benign (0%)
收集 10 条证据 (静态=5, 知识=4, 历史=1)
初步筛查: suspicious (58%)
融合结果: P(恶意)=58%, P(良性)=0%, 冲突度=0.00
假说推理: malicious (31%)
候选假说 5 个:
[KnownFamily] 该文件是 Cobalt Strike (商业渗透测试工具,常被攻击者滥用,特征为 Beacon 回连) → P=0.313
[KnownTechnique] 该文件使用 T1055 Process Injection 技术 (阶段: defense-evasion) → P=0.260
[KnownTechnique] 该文件使用 T1055.003 Thread Execution Hijacking 技术 (阶段: defense-evasion) → P=0.228
[KnownTechnique] 该文件使用 mitre_t1134 T1134: Access Token Manipulation 技术 (阶段: unknown) → P=0.187
...(共6行)
批判审查: benign (77%)
【审查警告】
[NoCrossValidation] 发现 8 条恶意证据但无一被交叉验证
置信度调整: -0.23
专家裁决: suspicious (47%)
检测到可疑特征,疑似 Cobalt Strike。
可疑位置:
历史相似案例 5 件: 5 恶意, 0 良性, 0 误报
文件结构: 熵值 6.575 (偏高)
知识图谱匹配: Cobalt Strike (匹配度=94.0)
...(共9行)
建议: [学习建议] 近期发现 5 个知识盲区,建议补充相关威胁情报; 证据不足,建议人工审查; 暂时监控该文件的行为
评分明细: 熵=0.0 API=0.0 字符串=7.0 异常=0.0
VirusTotal: 24/70引擎检出 (34%)
家族: trojan.cerbu/misc, cerbu, misc
引擎: MicroWorld-eScan=Gen:Variant.Cerbu.272462, Malwarebytes=HackTool.BypassUAC, BitDefender=Gen:Variant.Cerbu.272462, Symantec=ML.Attribute.HighConfidence, Paloalto=generic.ml
HybridAnalysis: 评分88/100, 判定=malicious
家族: Cerbu.Generic
标签: windows-server-utility
沙箱: 1进程, 1网络连接, 264行为签名
ATT&CK: T1106 Native API, T1059.007 JavaScript, T1053 Scheduled Task/Job, T1129 Shared Modules, T1059.003 Windows Command Shell
──────────────────────────────────────
[13] 简体中文翻译包.msi (High, 评分80.0)
威胁名称: TrojanDropper:Win32/HTA_Malicious.A!sig
检测引擎: signature_engine
路径: C:\Users\hfgh\Desktop\Mal-14X\简体中文翻译包.msi
哈希: c6d11a362a134273a3241c2ff19ef8d8dd6679af50c4b0acaea60ec8f62c51aa
LLM推理: 签名引擎确定性检出: TrojanDropper:Win32/HTA_Malicious.A!sig
评分明细: 熵=65.0 API=0.0 字符串=0.0 异常=0.0
熵值: 7.99
特征规则: 2条 (VBS_Downloader, HTA_Malicious)
结构异常: 2处 (签名检出: TrojanDropper:Win32/HTA_Malicious.A!sig, [ole_deep] OLE Package 含危险文件类型: .exe)
VirusTotal: 24/70引擎检出 (34%)
家族: trojan.cerbu/misc, cerbu, misc
引擎: MicroWorld-eScan=Gen:Variant.Cerbu.272462, Malwarebytes=HackTool.BypassUAC, BitDefender=Gen:Variant.Cerbu.272462, Symantec=ML.Attribute.HighConfidence, Paloalto=generic.ml
HybridAnalysis: 评分88/100, 判定=malicious
家族: Cerbu.Generic
标签: windows-server-utility
沙箱: 1进程, 1网络连接, 264行为签名
ATT&CK: T1106 Native API, T1059.007 JavaScript, T1053 Scheduled Task/Job, T1129 Shared Modules, T1059.003 Windows Command Shell
──────────────────────────────────────
[14] 点击安装运行切换中文简体语言包L.exe (Medium, 评分7.6)
路径: C:\Users\hfgh\Desktop\Mal-14X\点击安装运行切换中文简体语言包L.exe
哈希: 673b41519cee3034fa81ed4af15e7abdea9a3033b533ce68c7eb4fb5bc9a42ce
耗时: 12ms
家族: Ryuk
签名: 未签名
威胁类型: 勒索病毒
威胁摘要: 勒索病毒: Ryuk
ATT&CK: Data Encrypted for Impact, Inhibit System Recovery, Disable or Modify Tools, Disable or Modify Tools, Data Encrypted for Impact
推理链:
证据收集: benign (0%)
收集 26 条证据 (静态=5, 知识=20, 历史=1)
初步筛查: benign (70%)
融合结果: P(恶意)=27%, P(良性)=50%, 冲突度=0.14
假说推理: suspicious (25%)
候选假说 5 个:
[KnownFamily] 该文件是 LockBit (勒索软件即服务(RaaS),快速加密+双重勒索(加密+泄露数据)) → P=0.249
[KnownFamily] 该文件是 Ryuk (针对性勒索软件,常由 TrickBot/BazarLoader 投递) → P=0.249
[KnownFamily] 该文件是 TrickBot (模块化银行木马,具有横向移动和凭证窃取能力) → P=0.245
[KnownTechnique] 该文件使用 T1562.001 Disable or Modify Tools 技术 (阶段: defense-evasion) → P=0.241
...(共6行)
批判审查: benign (65%)
【审查警告】
[NoCrossValidation] 发现 24 条恶意证据但无一被交叉验证
置信度调整: -0.35
专家裁决: benign (34%)
检测到可疑特征,疑似 Ryuk。
可疑位置:
历史相似案例 5 件: 5 恶意, 0 良性, 0 误报
知识图谱匹配: LockBit (匹配度=188.0)
知识图谱匹配: Ryuk (匹配度=94.0)
...(共11行)
建议: [学习建议] 近期发现 5 个知识盲区,建议补充相关威胁情报; 存在证据冲突或高误报风险,建议安全人员人工确认; 建议人工复核此文件
评分明细: 熵=65.0 API=0.0 字符串=1.0 异常=20.0
熵值: 7.95
结构异常: 1处 (Large overlay data: 96.8% of file)
VirusTotal: 24/70引擎检出 (34%)
家族: trojan.cerbu/misc, cerbu, misc
引擎: MicroWorld-eScan=Gen:Variant.Cerbu.272462, Malwarebytes=HackTool.BypassUAC, BitDefender=Gen:Variant.Cerbu.272462, Symantec=ML.Attribute.HighConfidence, Paloalto=generic.ml
HybridAnalysis: 评分88/100, 判定=malicious
家族: Cerbu.Generic
标签: windows-server-utility
沙箱: 1进程, 1网络连接, 264行为签名
ATT&CK: T1106 Native API, T1059.007 JavaScript, T1053 Scheduled Task/Job, T1129 Shared Modules, T1059.003 Windows Command Shell
──────────────────────────────────────
[15] ifly.qzk.processGuard.exe (Medium, 评分1.6)
路径: C:\Users\hfgh\Desktop\Mal-14X\-官网一键切换中文翻译包\apps\processGuard\ifly.qzk.processGuard.exe
哈希: d6fc996864501e89427aec95558556491084759e79d34f3531c43a5d07922b33
耗时: 5ms
家族: trojan.
签名: 未签名
推理链:
证据收集: benign (0%)
收集 15 条证据 (静态=6, 知识=8, 历史=1)
初步筛查: benign (73%)
融合结果: P(恶意)=33%, P(良性)=47%, 冲突度=0.14
假说推理: benign (1%)
候选假说 8 个:
[KnownFamily] 该文件是 NjRAT (开源.NET远控木马,功能包括键盘记录/摄像头/文件管理) → P=0.164
[KnownFamily] 该文件是 DarkComet (远控木马,支持键盘记录/远程桌面/文件传输) → P=0.164
[KnownFamily] 该文件是 Poison Ivy (经典远控木马,C++编写,模块化设计) → P=0.164
[KnownTechnique] 该文件使用 T1497 Virtualization/Sandbox Evasion 技术 (阶段: defense-evasion) → P=0.157
...(共6行)
批判审查: benign (72%)
【审查警告】
[NoCrossValidation] 发现 13 条恶意证据但无一被交叉验证
置信度调整: -0.28
专家裁决: benign (5%)
未发现明确恶意特征,文件可能是安全的。
可疑位置:
恶意软件签名匹配 (分数=72)
知识图谱匹配: NjRAT (匹配度=94.0)
知识图谱匹配: DarkComet (匹配度=94.0)
...(共11行)
建议: [学习建议] 近期发现 5 个知识盲区,建议补充相关威胁情报; 存在证据冲突或高误报风险,建议安全人员人工确认; 建议人工复核此文件
评分明细: 熵=0.0 API=8.0 字符串=1.0 异常=0.0
特征规则: 1条 (Dropper_Resource)
危险API: 2组 (RegistryPersistence, SelfDelete)
VirusTotal: 24/70引擎检出 (34%)
家族: trojan.cerbu/misc, cerbu, misc
引擎: MicroWorld-eScan=Gen:Variant.Cerbu.272462, Malwarebytes=HackTool.BypassUAC, BitDefender=Gen:Variant.Cerbu.272462, Symantec=ML.Attribute.HighConfidence, Paloalto=generic.ml
HybridAnalysis: 评分88/100, 判定=malicious
家族: Cerbu.Generic
标签: windows-server-utility
沙箱: 1进程, 1网络连接, 264行为签名
ATT&CK: T1106 Native API, T1059.007 JavaScript, T1053 Scheduled Task/Job, T1129 Shared Modules, T1059.003 Windows Command Shell
──────────────────────────────────────
── 安全 (1个) ──────────────────────────────
-官网一键切换中文翻译包.exe
⚠ 声明:本检测结果由纯 AI 生成检测技术提供(主 Opus 4.6,GPT 5.4、
小米 MiMo v2 Pro free 辅助),以测试 AI 写代码能力极限为目标。
结果仅供参考,请注意甄别。
── 报告结束 ──
|
发表于 
发表于 