火绒安全软件

标题: 多特下载站高速下载器重新回归 [打印本页]
作者: www.    时间: 2022-8-2 17:05
标题: 多特下载站高速下载器重新回归
首先,该下载器无数字签名: 227E0B41-E3F0-4506-88C8-6BE9F504FE43.jpeg

运行后会下载三份配置文件:
http://download.runjiapp.com/dtazq/da/cofig.7z
http://download.runjiapp.com/dtazq/getlist
http://download.runjiapp.com/dtazq/wb

其中,getlist用来检测和规避国内常见防病毒软件(通过进程文件名称,包含360安全卫士、360杀毒、腾讯电脑管家、金山毒霸、2345安全卫士、火绒安全软件、Windows defender),wb用来检测和规避网吧(通过网吧终端管理系统的进程文件名称)

getlist配置文件列表如下图所示:
03A80436-24D5-4753-937E-3A5343158553.jpeg

wb配置文件列表如下图所示:
C1F73562-530A-4CEF-BE38-9FCC017336B2.jpeg

该下载器运行后会往%Temp%创建随机英文文件夹(6个英文字符)

随后往%Temp%与6个英文字符随机英文文件夹下下载Adware安装包

已知安装软件有:360全家桶、2345全家桶、快压、云记事本(CloudNotePad)、(WPS Office 2019)、(爱奇艺)等

其中,云记事本一言难尽,你以为这个下的只是WPS Office 2019的安装包?不,他是2345。你以为这个下的只是爱奇艺的安装包?不,他是2345

  1. 风险路径:C:\Users\Administrator\AppData\Roaming\CloudNotePad\wpssetup_k07511_428112.exe, 病毒名:Adware/2345PackStat.a, 病毒ID:96e65a4486cb99c7, 处理结果:已处理,删除文件
复制代码

  1. 风险路径:C:\Users\Administrator\AppData\Roaming\CloudNotePad\iqiyi_k07511_136368.exe, 病毒名:Adware/2345PackStat.a, 病毒ID:96e65a4486cb99c7, 处理结果:已处理,删除文件
复制代码


2621FB72-EC86-44B3-BBF1-D3EDF8968ECA.jpeg

下载站:https://www.duote.com/dnb/323393.html?xllx

下载地址:https://soft.runjiapp.com/down/dnb/%E5%92%8C%E5%B9%B3%E7%B2%BE%E8%8B%B1_323393.exe
作者: 火绒运营专员    时间: 2022-8-2 17:07
收到,我们确定下~
作者: mrant    时间: 2022-9-13 14:51
EDGE已拦截,硬下载火绒直接杀掉!



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4