瑞星揭秘“银狐木马”双线攻击方式|安全卫士|瑞星|病毒|银狐木马

“尊敬的客户，您的发票已生成，点击下载作为报销凭证 … …” 这样一封看似普通的银行电子发票通知邮件，却可能是黑客撬开你电脑大门的钥匙。

近日，瑞星威胁情报平台捕获到 “ 银狐木马 ”新一轮的攻击，他们通过伪造发票邮件和聊天文件，借助合法软件的外衣大肆窃密，金融机构和普通用户都已成为目标。

攻击事件一：钓鱼邮件借 “ 白加黑 ” ” 技术劫持系统

瑞星安全专家深入追踪发现， “银狐木马 ” 团伙针对国内某银行发动精密钓鱼攻击，以发票通知作为诱饵，向银行员工邮箱发送钓鱼邮件，邮件域名伪装成正规机构，内嵌“ 百度 ” 样式链接，极具迷惑性。一旦点击，便会跳转到高仿的验证页面，诱导用户下载名为 “ 票单 .z i p ” 的压缩包。

瑞星安全专家介绍，该压缩包内含有经德国安博士（ A v i r a ）合法签名的程序，却暗藏 D L L 恶意程序。 “ 银狐木马 ” 正是通过这种 “ 白加黑 ” 的方式绕过安全软件检测，偷偷获取管理员权限，并下载其核心模块。

攻击事件二：聊天文件用 “ 硬件绑定 ” 加密术

除了钓鱼邮件， “ 银狐木马” 的另一分支通过聊天软件传播名为 " 明细查询 . z i p " 的压缩包。解压后可以看到大家熟悉的“ 微软电脑管家 ”程序，但这实则是黑客篡改后的 “ 毒匣子 ” ，该程序附带的配置文件已被修改，会主动加载 “ m $ R E C YC L E . B I N ”目录下的恶意程序。

瑞星安全专家介绍，恶意程序会读取电脑硬盘序列号和主板信息，生成一个 3 2 字节的独特密钥，这种机制使得恶意代码只在目标设备上被激活，让安全人员分析难度变大。并且，木马还会将自身拆分成多个 . d at 文件，平时以碎片形式隐藏在系统深处，仅在执行时通过 c md 命令动态拼接，这种 “ 碎片攻击 ” 让传统杀毒软件难以识别。

瑞星警示：银狐木马持续活跃，且危害巨大

瑞星安全专家介绍，银狐木马（又名毒鼠、谷堕、游蛇），是近年来国内非常流行的一个远控木马。自 2 0 22 年 9 月起开始活跃，主要针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击。攻击团伙通过投递远控木马，获得受害者的计算机控制权限，在系统内长期驻留，监控用户日常操作，窃取敏感信息，利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息，实施钓鱼攻击和诈骗等违法行为。

正是这种深度潜伏与全面操控的特性，让银狐木马极具威胁性：

l伪装隐藏：把自己注入到系统进程中，避免被任务管理器发现；

l数据窃密：实时记录键盘输入、截取屏幕画面，甚至能远程查看聊天记录；

l毁尸灭迹：清理系统日志、关闭杀毒软件防护，让黑客操作不留痕迹。

更可怕的是，木马会随时接收黑客指令，可执行关机、删除文件、下载新病毒等操作。

瑞星四步防护建议：

由于近期 “ 银狐木马 ” 频繁活动，借助带有合法数字签名的文件作为掩护，对用户的迷惑性极强，因此瑞星安全专家建议广大用户：

1. 不打开可疑文件。

不打开未知来源的可疑的文件和邮件，防止社会工程学和钓鱼攻击。

2. 部署EDR、NDR产品。

利用威胁情报追溯威胁行为轨迹，进行威胁行为分析，定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，以便更快响应和处理。

3. 安装有效的杀毒软件，拦截查杀恶意文档和恶意程序。