一、银狐介绍
银狐是一款专门针对企事业单位管理、财务等从业人员进行攻击的木马病毒变种之一 ,通过微信、QQ、邮件以及伪造工具网站等渠道进行钓鱼攻击,主要面向政府、高校及企事业单位等关键行业,攻击目标集中在财务和会计领域的专业人员 ,多采用进程注入、无文件攻击及签名伪造等多种技术绕过安全防护,远程控制受害者的计算机,窃取用户的敏感数据和财产信息,具有高度隐蔽性,对中国企事业单位和个人的信息安全构成严重威胁。
二、病毒特点
特点 | 描述/实现方式 |
隐蔽 | 银狐病毒会在主机上多个位置释放多个文件,且对文件设置权限以实现隐蔽功能。 |
欺骗 | 银狐病毒会对文件名进行修改,并执行白加黑等操作,伪装成wps、docx、财务软件等用户使用频率较高的软件名,以欺骗用户进行点击。 |
控制 | 银狐病毒存在回连地址,运行后可与攻击者地址进行连接,以便于攻击者控制主机进行操作。 |
三、行为特征
内存写入、代码注入、进程注入、隐藏文件、修改内存数据、创建快捷方式、获取按键信息、创建可执行文件、释放文件、检测驱动、dll反射加载、创建进程、查询计算机名。
执行链如下:
四、排查思路
1、查看下载目录是否存在恶意文件
银狐病毒通常会由浏览器下载,计算机默认的下载目录可能存在恶意文件。
2、查看浏览器下载记录
web邮箱登录、浏览器下载,即便清除了下载目录,浏览器也会存在相应记录。
3、查看微信下载记录
银狐病毒会通过微信群等进行传播,受害者通过微信群点击下载或开启微信自动下载功能,病毒会保留在微信文件目录,文件地址:
C:\Users\apple\Documents\WeChatFiles\wxid_xxxxx\FileStorage\File\
4、微信聊天内容截图
银狐病毒运行后会对微信聊天内容进行截图,并在本地新建文件夹进行保存,文件地址:
C:\ProgramData\xxx\2025-7-25\微信截图\
5、感染/权限维持
银狐病毒会将病毒自身复制到多个文件夹,大部分会在用户目录下,文件地址:
C:\Users\apple\AppData\Local\Temp\12204\12205
银狐病毒会释放多个文件,在公共文档、用户目录等文件夹下,释放多个样本,用作权限维持等功能。
6、远控
银狐病毒运行后,攻击者可通过远程对主机进行操作,包括利用微信、邮箱等群发消息等。
7、进程注入
银狐病毒运行后会执行进程注入等操作。
8、文件类型
银狐病毒除自身样本外,可能存在多个快捷方式(权限维持)、python文件(进行加密)、dll、jpg(输出,进程注入)等,可排查主机上陌生exe文件、python文件、dll文件、快捷方式等,如主机存在everything,可根据时间排序对文件进行排查,如无everything,则可优先排查公用下载、公用文档、下载、回收站、浏览器下载记录、微信下载记录、用户相关目录(C:\users\apple\Appdata\Local\Temp)等相关目录,查看是否存在异常。
五、 防护建议
近期“银狐” 病毒相关攻击活动异常活跃,为避免病毒给企业和个人带来经济损失,请按以下要求做好防范工作:
1、个人电脑应实施一次全盘杀毒,并定期进行病毒查杀。
2、微信、QQ、钉钉等工作软件不使用时应及时退出,电脑不用时应关机。
3、严禁点击来源不明的链接、文件,尤其警惕 “紧急通知”“社保退款” “领取奖金”等标题的陌生信息;涉及转账、敏感信息传递,必须通过电话、当面等方式二次核实,杜绝仅凭消息指令操作。
4、如发现电脑中毒或者异常(如卡顿、弹窗、文件丢失)、收到可疑信息,或疑似被攻击,应立即断开该设备的网络连接。