查看: 7878|回复: 35
收起左侧

[分享] 360安全卫士宣布:彻底查杀顽固“银狐”木马

  [复制链接]
keen-qv 该用户已被删除
发表于 2024-8-29 21:42:38 | 显示全部楼层 |阅读模式
银狐木马为患已久

       自去年开始,银狐木马活跃度不断提高,360安全大脑也发布了多次银狐攻击的预警。至今年下半年,银狐已成为国内最为流行的“远控与电诈”类木马。

       该木马常利用微信、钓鱼网页等方式以虚假的“[过滤]”、“财税”、“人员名单”等相关信息为幌子进行传播。而这些文件无论是标题还是其伪造的内容都极具欺骗性,因此也导致不少用户中招。

       例如下面这个钓鱼网页便是伪装成税务稽查通知,诱骗用户下载其附件并运行。该钓鱼网页具有很大的迷惑性,用户稍不留神便会中招。


图1. 银狐木马典型钓鱼页面


       而银狐木马一旦完成对受害者设备的感染便会开启免杀对抗机制,为了能长期控制用户电脑开始打起了正规软件的主意。通常的病毒木马,即使能够成功对安全软件实现免杀,也很快会被安全公司监测到,进而在安全软件更新升级后查杀。而银狐木马则利用了一些正规的企业管理软件来实现在系统中的长期驻留,比如:ip-guard、固信终端安全、阳途终端安全等。

       这类软件本身是用于企业IT管理使用的,能够通过软件的管控平台对终端设备进行集中管理和运行监控。木马利用管控软件的这一特性,静默或诱骗用户安装其客户端,并在后台对用户实施监控和远程控制。

       同样也因为这些软件本身是正规企业出品的软件产品,往往会被安全软件列入信任名单,从而不会被拦截和查杀。此外,此类软件也具备“自我保护”能力来防止被停用或卸载,所以一般用户即使发现异常也难以清除。最终,受害用户便会在不知不觉的情况下被黑客长期控制。黑客以受害用户的设备作为跳板,进一步扩散病毒木马,甚至发起新一轮的诈骗。我们也收到了一些用户反馈称电脑经常被黑客控制,而安全软件却无法查杀。

打响银狐歼灭战


       360安全大脑最新推出了对此类常被银狐木马利用的“管理软件”的监测功能。一旦发现异常安装,便可自动对相应软件进行“灭活”及卸载操作。此功能可让受攻击设备迅速脱离黑客控制,彻底解决用户被长期控制而无法查杀的问题。因不慎感染了银狐木马而被黑客控制的机器,可以尝试使用最新版的360安全卫士进行查杀。


图2. 360安全卫士卸载被银狐木马利用的管控软件


       下面我们以一个近期收到的受害者反馈情况为例,简单展示一下ip_guard远控软件是如何被安装到用户机器上的。

       首先银狐木马会通过微信钓鱼攻击该用户,诱骗用户点击该远控木马。


图3. 受害用户被诱骗后运行远控木马


       该木马会多次尝试退出360主防,然后释放ip_guard管控客户端的静默安装包。在完成ip_guard的安装工作后,黑客就可以远程控制受害用户机器,甚至对其进行进一步的诈骗操作。


图4. 远控木马长期驻留系统并伺机进一步发难


安全建议
  • 安装并确保开启安全软件,保证其对本机的安全防护;
  • 对于安全软件报毒的程序,不要轻易添加信任或退出安全软件;
  • 下载软件安装包时要注意下载地址是否正常;
  • 不要轻易下载并运行未知程序;
  • 尤其对财税人员的信息安全培训提起重视,加强财税人员的信息安全意识和识别能力;
  • 对于发现微信被异常控制,出现自动建群发送消息等问题的,尽快安装360终端安全产品,进行扫描查杀。



评分

参与人数 3人气 +5 收起 理由
fzp070 + 2 版区有你更精彩: )
白露为霜 + 2 淡定
QVM360 + 1 版区有你更精彩: )

查看全部评分

wowocock
发表于 2024-8-30 10:14:00 | 显示全部楼层
yjsbox 发表于 2024-8-30 07:24
其他杀软不行吗?

主要是类似IPGUARD这种,都在大家的白名单里没人会杀,所以即使杀了木马下载者,人家还是可以通过这些软件来远控你,360会检测是木马释放还是正规安装的,然后不同处理。

评分

参与人数 2人气 +9 收起 理由
莒县小哥 + 8 感谢解答: )
keen-qv + 1 感谢解答: )

查看全部评分

yjsbox
发表于 2024-8-30 07:24:23 | 显示全部楼层
其他杀软不行吗?
keen-qv 该用户已被删除
 楼主| 发表于 2024-8-30 08:12:40 | 显示全部楼层
yjsbox 发表于 2024-8-30 07:24
其他杀软不行吗?

“杀软行不行”欢迎多关注卡饭病毒样本区{https://bbs.kafan.cn/forum-31-1.html),这里不对其他杀软做评价,当然也不对360作评价,我只是搬运工,转发了360具备升级了相关能力的内容,不做任何解读。
ydgaga
头像被屏蔽
发表于 2024-8-30 08:19:34 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
papawenbo
发表于 2024-8-30 08:42:54 | 显示全部楼层
yjsbox 发表于 2024-8-30 07:24
其他杀软不行吗?

这个病毒把杀软件团灭了且有ip-guard和固信等合法驱动保护,其他杀毒软件都检不出删不掉... 随时被银狐团伙远控
我就看看不说话
发表于 2024-8-30 08:59:35 | 显示全部楼层
一个银狐拿出来炒这么多次,像极了一个学渣会做一道中档题,在班里吹半年
你开心就好
发表于 2024-8-31 09:59:07 来自手机 | 显示全部楼层
papawenbo 发表于 2024-8-30 08:42
这个病毒把杀软件团灭了且有ip-guard和固信等合法驱动保护,其他杀毒软件都检不出删不掉... 随时被银狐团 ...

应该不是检测不出来吧?
而是这玩意儿本来就是合法的 又有合规数字签名 而且在某些方面用户覆盖面不低 应该类似于一个被利用的状态
papawenbo
发表于 2024-9-2 09:31:23 | 显示全部楼层
你开心就好 发表于 2024-8-31 09:59
应该不是检测不出来吧?
而是这玩意儿本来就是合法的 又有合规数字签名 而且在某些方面用户覆盖面不低  ...

肯定要检测是病毒释放的还是管理员主动安装的啊
aikafans
头像被屏蔽
发表于 2024-9-2 10:21:08 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 10:17 , Processed in 0.134347 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表