我敲，我也是

联想，Trojan/Donut.e，+1

+1，也是在Google update相关文件夹里

我也，联想，下午三点多忽然弹出来

wc,都是今天弹的，为啥啊，下班回来看电脑就弹这玩意

根据分析报告中的多个可疑技术指标，该样本存在较高的恶意软件特征，建议谨慎处理。以下是关键分析结论：
1. **伪装特征分析**：
- 文件类型显示为Google Chrome扩展程序（CRX），但存在以下异常：
* 内含嵌入式PE32可执行文件（embedded_pe规则触发）
* 调用非Windows程序的Win32 API函数（embedded_win_api规则触发）
* 文件体积异常庞大（11.89MB远大于常规插件）
2. **高危行为特征**：
```markdown
■ 反检测机制
- 通过注册表键检测杀毒软件
- 时区感知（常用于规避沙箱检测）
- 内存属性篡改（VirtualProtect调用，典型注入行为）
■ 攻击行为
- 浏览器隐私窃取（cookies/密码/历史记录等）
- 进程注入（CreateRemoteThread迹象）
- 可疑进程创建与终止
■ 持久化手段
- 在文件系统创建可执行文件
- 利用COM接口实现横向移动
```
3. **环境关联性**：
- 调用`网页链接 `（Chrome清理工具）作为傀儡进程
- 释放崩溃转储文件`*.dmp`混淆日志
- 连接Google CDN服务器（31.13.88.169）但使用非标准JA3指纹(b32309a269...)
4. **威胁评估**：
- MITRE ATT&CK技术矩阵检测到4项攻击技术
- 杀毒引擎0检出（VT零报警）但存在7项可疑行为
- 符合APT攻击中常见的"白加黑"攻击模式
**建议处置措施**：
1. 立即隔离该样本，禁止在正式环境运行
2. 检查受影响设备的：
- Chrome扩展列表（chrome://extensions）
- 注册表路径`HKEY_CURRENT_USER\Software\Google\Chrome\Extensions`
- 用户目录`AppData\Local\Google\Chrome\User Data`
3. 使用Cuckoo Sandbox进行深度行为分析
4. 监控内部网络中与31.13.88.169的异常TLS连接
该样本极可能是经过深度伪装的恶意扩展程序，并非合法的Google更新组件。其技术特征与Chrome僵尸网络插件"VenomSoftX"存在相似性，建议参考CVE-2023-2136进行安全加固。

我也弹了，应该是误报吧

这可不是误报别误导了。而谷歌浏览器的自动更新程序通常是 “GoogleUpdate.exe”，位于谷歌浏览器的安装目录下谢谢，而不是 “C:\Windows\SystemTemp” 这个临时文件夹中，并且文件名也与你所看到的 “UpdaterSetup.exe” 不同哈

出现报毒信息的各位都是联想电脑吗？我是联想拯救者R9000P

我也弹了（昨天弹了1次，今天2次），直接把crx_cache下的文件都删了就可以了吗

扫描了好久，有点怕。
C:\Program Files (x86)\Google\GoogleUpdater\crx_cache
不知道这个有没有用：

y9000p+1