银狐木马最新变种给你的微信好友发送诈骗信息原理解析及查杀工具下载教程SEO关键词银狐木马、银狐病毒、微信盗号木马、远程控制木马、WDAC策略、任务计划程序病毒、火绒查杀、360杀毒、Windows安全、防病毒教程、木马分析、系统安全文章摘要近期银狐木马再次出现新变种通过伪造软件下载官网传播感染后可远程控制微信、QQ发送诈骗信息并利用WDAC策略阻止杀毒软件运行。本文结合B站UP主 SYSTEM-RAMOS-ZDY 的实测分析详细拆解银狐木马的运行机制、持久化方式、免杀原理以及清除方法并提供辅助检测和查杀工具下载。最近一段时间一种被称为**银狐木马Silver Fox**的恶意程序再次出现了新的变种。就在半年之前银狐木马已经引发过一次广泛关注但根据不少网友反馈这种病毒近期又开始活跃并且攻击方式比之前更加隐蔽。本篇文章结合B站UP主SYSTEM-RAMOS-ZDY的实测分析过程带大家深入了解银狐木马究竟做了什么以及如何进行检测和处理。查杀工具下载工具下载地址银狐木马辅助查杀工具https://pan.quark.cn/s/3822775ac40e什么是银狐木马根据多个受害者反馈的信息来看银狐木马通常内嵌远程控制模块RAT。攻击者在成功感染目标电脑后可以远程控制电脑操作微信操作QQ向好友发送诈骗信息下载更多恶意程序窃取账号信息很多用户以为自己的微信被盗了。实际上并非微信账号本身被盗而是黑客直接控制了已经登录微信的电脑。因此即使开启双重验证也可能出现好友收到诈骗消息的情况。银狐木马是如何传播的本次发现的新变种主要通过仿冒软件下载站伪造软件官网搜索引擎广告第三方下载平台进行传播。这些页面往往长得和官网几乎一模一样。例如正常官网软件下载 → EXE安装包伪造官网软件下载 → ZIP压缩包这里有一个重要经验官网一般下载的是EXE而很多病毒站点下载下来却是xxx.zip xxx.rar xxx.7z如果一个看起来像官网的网站却给你下载一个压缩包那么一定要提高警惕。病毒分析注册表竟然没有异常为了分析病毒行为首先使用了注册表快照工具。原本以为会发现驱动加载启动项增加服务注册等常见持久化手段。结果对比发现关键启动项无明显变化 驱动列表无明显变化 注册表异常极少但系统却已经明显变卡。表现为CPU占用升高内存占用暴涨系统响应缓慢同时安装安全软件时出现异常。例如360安装被拦截系统策略阻止运行火绒安装失败安装过程中直接报错退出显然病毒已经提前对安全软件进行了处理。真正的攻击点WDAC策略被篡改继续分析Windows系统目录。最终在C:\Windows\System32\下面发现异常策略文件。其中一个P7B证书文件被病毒修改。使用十六进制工具打开后发现360路径 火绒路径 腾讯电脑管家路径 其它安全软件路径全部被写入其中。什么是WDACWDAC全称Windows Defender Application Control它是微软用于程序白名单管理的安全机制。底层依赖Code Integrity CI.sys实现代码完整性校验。企业环境中经常用于限制程序运行禁止未知软件启动软件白名单管理银狐是如何利用WDAC的正常情况WDAC保护系统银狐利用WDAC阻止杀毒软件病毒修改策略后360.exe Huorong.exe Defender相关组件全部被底层拦截。因此用户会发现无法安装杀毒软件安装后无法启动打开直接闪退看起来像系统故障。实际上是病毒故意为之。第一阶段修复已知问题后处理就简单很多。删除异常策略文件删除恶意P7B文件随后创建同名目录同名文件夹占位阻止病毒再次生成策略文件。重启后360不再出现系统策略拦截但依然存在闪退问题。说明病毒主体仍然在后台运行。病毒如何实现开机自启继续分析C:\Windows\System32\Tasks发现该目录修改时间与中毒时间完全吻合。熟悉Windows的人都知道这里保存的是任务计划程序果然发现恶意计划任务打开任务计划程序后发现可疑特征随机文件名例如A8F73B.exe KD82L.exe用户登录自动运行At Logon每分钟执行一次Repeat every 1 minute最高权限运行Run with highest privileges隐藏执行Hidden这些特征叠加在一起基本可以直接判定为恶意程序。找到病毒本体通过显示隐藏文件 系统文件最终定位到病毒主体。并陆续发现ProgramData Program Files AppData多个目录存在关联文件。其中包括远控模块配置文件下载器更新程序PNG图片竟然也是木马分析过程中还发现一张特殊PNG文件。表面看损坏的Defender图标实际上内部嵌入恶意代码用于向病毒主体传递配置和控制信息。这种方式可以降低被发现概率。属于近年来恶意软件比较常见的隐藏手法。删除任务计划还不够即使删除计划任务。很多病毒还会进程互相守护表现为A启动B B启动A导致删掉一个后另一个重新拉起。因此必须删除任务计划结束相关进程删除病毒文件同步进行。利用映像劫持阻断病毒启动分析过程中还用到了一个经典技术IFEO映像劫持注册表位置Image File Execution Options例如taskmgr.exe原本启动任务管理器。如果配置Debuggercalc.exe结果打开任务管理器 ↓ 启动计算器利用这个原理。可以暂时劫持病毒程序。让其无法启动。从而为安全软件争取运行时间。最终查杀结果恢复系统后火绒成功运行360杀毒成功运行全盘扫描发现并清除剩余木马文件经过实测目前发现的样本均可被主流安全软件识别。如何判断是否感染银狐目前发现一个非常明显的特征病毒文件全部带有隐藏属性例如Hidden System属性同时存在。攻击者这样做是为了降低被发现概率但反而留下了排查线索。通过脚本遍历所有运行中的进程即可快速定位隐藏进程文件位置可疑程序如何预防银狐木马1、尽量从官网下载软件优先选择官方网站Microsoft StoreGitHub Release2、警惕ZIP压缩包安装器如果软件官网给你下载的是zip rar 7z一定提高警惕。3、不要关闭实时防护包括Windows Defender火绒360腾讯电脑管家4、定期检查任务计划程序查看是否存在随机名称 隐藏执行 高权限运行的任务。5、开启显示隐藏文件很多病毒依赖隐藏属性 系统属性来躲避用户发现。总结银狐木马的新变种相比早期版本最大的变化在于利用WDAC策略阻断杀毒软件通过任务计划实现持久化远程控制微信和QQ向好友发送诈骗信息使用隐藏文件和伪装资源文件降低发现概率对于普通用户而言最重要的仍然是不要从来历不明的网站下载软件尤其是那些看起来像官网却提供ZIP压缩包下载的页面。如果已经出现杀毒软件无法安装安装后闪退微信自动发送异常消息系统突然变卡等现象建议立即断网并进行全盘查杀。希望本文能够帮助大家了解银狐木马的最新攻击方式提高安全防范意识。