多特下载站高速下载器重新回归

首先，该下载器无数字签名：

运行后会下载三份配置文件：

hxxp://download.runjiApp.com/dtazq/da/cofig.7z

hxxp://download.runjiApp.com/dtazq/getlist

hxxp://download.runjiApp.com/dtazq/wb

其中，getlist用来检测和规避国内常见防病毒软件（通过进程文件名称，包含360安全卫士、360杀毒、腾讯电脑管家、金山毒霸、2345安全卫士、火绒安全软件、Windows defender），wb用来检测和规避网吧（通过网吧终端管理系统的进程文件名称）

getlist配置文件列表如下图所示：

wb配置文件列表如下图所示：

该下载器运行后会往%Temp%创建随机英文文件夹（6个英文字符）

随后往%Temp%与6个英文字符随机英文文件夹下下载Adware安装包

已知安装软件有：360全家桶、2345全家桶、快压、云记事本（CloudNotePad）、（WPS Office 2019）、（爱奇艺）等

其中，云记事本一言难尽，你以为这个下的只是WPS Office 2019的安装包？不，他是2345。你以为这个下的只是爱奇艺的安装包？不，他是2345

风险路径：C:\Users\Administrator\AppData\Roaming\CloudNotePad\wpssetup_k07511_428112.exe, 病毒名：Adware/2345PackStat.a, 病毒ID：96e65a4486cb99c7, 处理结果：已处理，删除文件

风险路径：C:\Users\Administrator\AppData\Roaming\CloudNotePad\iqiyi_k07511_136368.exe, 病毒名：Adware/2345PackStat.a, 病毒ID：96e65a4486cb99c7, 处理结果：已处理，删除文件

Ioc信息：

下载站URL：hxxps://www.duote.com/dnb/323393.html?xllx

下载器URL：hxxps://soft.runjiApp.com/down/dnb/%E5%92%8C%E5%B9%B3%E7%B2%BE%E8%8B%B1_323393.exe

下载器MD5: 3200588F0AAFBBF8FF25767838ECC889

下载器SHA256: 928DF663A7F84F37A47B709D74CB2A5F65134B6CCEA41C0E53973F1E6E2C2F18