关于针对我国用户的“银狐”木马病毒出现新变种的预警报告

pyic

文章来源：国家计算机病毒应急处理中心     关于针对我国用户的“银狐”木马病毒出现新变种的预警报告



一、相关病毒传播案例

       近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内发现针对我国用户的“银狐”（又名：“游蛇”、“谷堕大盗”等）木马病毒最新变种。攻击者通过构造财务、税务等主题的钓鱼网页，通过微信群传播该木马病毒的下载链接。如图1、图2所示。

                                                                 图1 钓鱼信息及链接(1)

                                                                 图2 钓鱼信息及链接(2)

       用户点击上述钓鱼链接后，钓鱼网页会根据用户终端类型进行跳转，如果用户使用手机终端访问，则会提示用户使用电脑终端进行访问，用户使用电脑终端访问链接后会下载文件名为“金稅四期（电脑版）-uninstall.msi”的安装包文件或“金稅五期（电脑版）-uninstall.zip”的压缩包文件（内含同文件名的可执行程序文件），实际为“银狐”木马病毒家族的最新变种程序。如果用户运行相关程序文件，将被攻击者实施远程控制、窃密、网络诈骗等恶意活动并充当进一步攻击的“跳板”。

二、病毒感染特征

    1. 钓鱼信息特征

   钓鱼信息可能通过微信群、QQ群等社交媒体或电子邮件发送，信息通常为犯罪分子伪造的官方通知，主题通常涉及财税或金融管理等公共管理部门发布的最新政策和工作通知等，并附所谓的对接相关工作所需专用程序的下载链接。

    2. 文件特征

    1）文件名

      犯罪分子通常会将木马病毒程序的文件名设置为与财税、金融管理部门相关工作具有显著关联，且对相关岗位工作人员具有较高辨识度的名称，如：“金稅四期（电脑版）”、“金稅五期（电脑版）”等，并以此为诱饵欺骗企业中的财务管理人员或个体经营者。由于目前该木马病毒程序的变种大多只针对安装Windows操作系统的传统PC环境，犯罪分子也会在文件名中设置“电脑版”、“PC版”等关键词以诱导受害用户在相应环境下安装。

    2）文件格式

    目前已知的该木马病毒常用文件格式以MSI安装包格式和ZIP、RAR等压缩包格式（内含MSI或EXE等可执行程序）为主。

    3）文件HASH

    cf8088b59ee684cbd7d43edcc42b2eec

    f3cad147e35f236772b5e10f4292ba6e

    网络安全管理员可通过国家计算机病毒协同分析平台获得相关病毒样本的详细信息，如下:

    https://virus.cverc.org.cn/#/ent ... 4cbd7d43edcc42b2eec

    https://virus.cverc.org.cn/#/ent ... 36772b5e10f4292ba6e

    3.系统驻留特征

    木马病毒被安装后，会在操作系统中注册名为“UserDataSvc_[字母与数字随机组合]”的系统服务，实现开机自启动和持久驻留，如图3所示。

                                                                图3 注册系统服务实现系统持久驻留

4.网络通信特征     

    回联地址为：154.**.**.95

    命令控制服务器（C2）域名为：8848.********.zip

    其中与C2地址的通信内容中，会包含受害主机的操作系统信息、用户名、CPU信息、内存信息以及内网IP地址等数据，如下：

三、防范措施

       国家计算机病毒应急处理中心提示广大企事业单位，特别是从事电商业务的中小微企业以及个体经营者和个人网络用户，临近年末，各类财税和金融业务繁忙，从事相关业务的工作人员务必提高警惕，防范以计算机病毒为作案工具的电信网络诈骗活动。建议广大用户采取以下防范措施：

    1.不要轻信微信群、QQ群或其他社交媒体软件中传播的所谓政府主管部门或金融机构发布的通知，应通过官方渠道进行核实。

    2.不要从微信群、QQ群或其他社交媒体软件的聊天群组中传播的网络链接（或二维码）下载所谓的官方程序。

    3.一旦发现微信、QQ或其他社交媒体软件发生被盗现象，应向亲友和所在单位及同事告知相关情况，并通过相对安全的设备和网络环境修改登录密码，并对自己常用的计算机和移动通信设备进行杀毒和安全检查，如反复出现账号被盗情况，应在备份重要数据的前提下，考虑重新安装操作系统和安全软件并更新到最新版本。

    4.对安全性未知的可疑文件，可访问国家计算机病毒协同分析平台（https://virus.cverc.org.cn）进行提交检测。

       本预警报告得到了北京微步在线科技有限公司、北京神州绿盟科技有限公司、安天科技集团股份有限公司、北京瑞星网安技术股份有限公司、深信服科技股份有限公司和计算机病毒防治技术国家工程实验室和国家计算机病毒协同分析平台各共建单位的技术和信息支持，特此致谢。

aikafans

我来打破零回复

玛姆库特

aikafans 发表于 2024-11-22 15:56
我来打破零回复

最近的样本确实逆天

fsts1014911532

很多人中招是因为不相信安全软件，就像我一朋友一样，给她装了ESET，结果她要用什么网银、这样那样的小众软件，每次装都要关掉ESET，每次ESET都明显报毒了都选择忽略加白，这木马劫持微信，玩的是社会工程学，真的无语。

aikafans

玛姆库特 发表于 2024-11-22 16:39
最近的样本确实逆天

针对性的样本肯定是层出不穷，但基本上还是那老几样，自己培养好习惯，做好联网控制，用好hips，基本上就没啥问题

aikafans

fsts1014911532 发表于 2024-11-22 16:56
很多人中招是因为不相信安全软件，就像我一朋友一样，给她装了ESET，结果她要用什么网银、这样那样的小众软 ...

确实，装了，还是选择不相信，无解

LastF1ame_

fsts1014911532 发表于 2024-11-22 16:56
很多人中招是因为不相信安全软件，就像我一朋友一样，给她装了ESET，结果她要用什么网银、这样那样的小众软 ...

这种无解，说不定你这朋友吃一堑也不长一智，再好的安全软件也是白搭。建议直接360吧

QVM360

LastF1ame_ 发表于 2024-11-22 18:08
这种无解，说不定你这朋友吃一堑也不长一智，再好的安全软件也是白搭。建议直接360吧

360可以直接退出的，eset有时候关掉监控也会给你拦截一些低信誉程序

LastF1ame_

QVM360 发表于 2024-11-22 18:13
360可以直接退出的，eset有时候关掉监控也会给你拦截一些低信誉程序

按照这个情况可能是安装其他软件去对冲了吧

ninjagaocc

aikafans 发表于 2024-11-22 18:01
确实，装了，还是选择不相信，无解

“不听老人言，吃亏在眼前”