首先，該下載器無(wú)數(shù)字簽名：

運(yùn)行后會(huì)下載三份配置文件：

hxxp://download.runjiApp.com/dtazq/da/cofig.7z

hxxp://download.runjiApp.com/dtazq/getlist

hxxp://download.runjiApp.com/dtazq/wb

其中，getlist用來(lái)檢測(cè)和規(guī)避國(guó)內(nèi)常見(jiàn)防病毒軟件（通過(guò)進(jìn)程文件名稱，包含360安全衛(wèi)士、360殺毒、騰訊電腦管家、金山毒霸、2345安全衛(wèi)士、火絨安全軟件、Windows defender），wb用來(lái)檢測(cè)和規(guī)避網(wǎng)吧（通過(guò)網(wǎng)吧終端管理系統(tǒng)的進(jìn)程文件名稱）

getlist配置文件列表如下圖所示：

wb配置文件列表如下圖所示：

該下載器運(yùn)行后會(huì)往%Temp%創(chuàng)建隨機(jī)英文文件夾（6個(gè)英文字符）

隨后往%Temp%與6個(gè)英文字符隨機(jī)英文文件夾下下載Adware安裝包

已知安裝軟件有：360全家桶、2345全家桶、快壓、云記事本（CloudNotePad）、（WPS Office 2019）、（愛(ài)奇藝）等

其中，云記事本一言難盡，你以為這個(gè)下的只是WPS Office 2019的安裝包？不，他是2345。你以為這個(gè)下的只是愛(ài)奇藝的安裝包？不，他是2345

風(fēng)險(xiǎn)路徑：C:\Users\Administrator\AppData\Roaming\CloudNotePad\wpssetup_k07511_428112.exe, 病毒名：Adware/2345PackStat.a, 病毒ID：96e65a4486cb99c7, 處理結(jié)果：已處理，刪除文件

風(fēng)險(xiǎn)路徑：C:\Users\Administrator\AppData\Roaming\CloudNotePad\iqiyi_k07511_136368.exe, 病毒名：Adware/2345PackStat.a, 病毒ID：96e65a4486cb99c7, 處理結(jié)果：已處理，刪除文件

Ioc信息：

下載站URL：hxxps://www.duote.com/dnb/323393.html?xllx

下載器URL：hxxps://soft.runjiApp.com/down/dnb/%E5%92%8C%E5%B9%B3%E7%B2%BE%E8%8B%B1_323393.exe

下載器MD5: 3200588F0AAFBBF8FF25767838ECC889

下載器SHA256: 928DF663A7F84F37A47B709D74CB2A5F65134B6CCEA41C0E53973F1E6E2C2F18