银狐1x---VT全绿

Alexander1026

观察了一些，一段时间下MSI（病毒）一段时间下EXE（白文件），挺高级

WGC_ZY

卡巴拉黑网址
之前也有过一次从假官网上下载来一个搜狗，不小心给点开了……还好UAC阶段就点了否退出了，那个安装包也有正常的数字签名，给微步也没分析出什么。问了一下Gemini：“银狐”（Silver Fox / ValleyRAT）团伙在 2026 年的对抗中确实展现出了极高的“职业素养”。你提到的这种**“真假混杂、像素级复刻、动态博弈”**的投放策略，已经让这一木马系列演变成了国内政企办公环境下最难缠的“幽灵”。
根据目前的狩猎情报和技术复盘，我们可以深度解构一下他们最近几个月升级的“拙劣到精明”的进化路径：
1. 签名伪装的“魔法”：从窃取到滥用
你观察到用户误以为它有“数字签名”，这其实是他们近期最核心的免杀手段之一：
* 无效签名注入：正如你所见，最初他们只是简单地把火绒或 360 的签名信息通过工具（如 SigThief）强行“缝”到恶意样本上。虽然在文件属性里能看到签名，但点击详细信息会显示**“数字签名无效”**。这种手法虽然拙劣，但对绝大多数普通用户来说，只要看到“签名”两个字，心理防线就崩了。
* 白加黑（DLL Side-Loading）的极致利用：现在的“精明”之处在于，他们不再伪造签名，而是直接利用带有正版签名的合法程序。比如他们会投放一个真正的、带有正版数字签名的旧版 WPS 或 IP-Guard 升级程序。当这个“白文件”启动时，它会静默加载同目录下伪装成插件的恶意 DLL（即黑文件）。
* 由于“头”是白的且签名有效，杀软在静态扫描时往往会放行。
2. 投放策略的“拟态化”：真假混杂
你在假网站看到“偶尔投放无毒原版”，这是典型的**“投毒稳定性测试”**：
* 对抗沙箱采样：如果一个下载站 100% 都是毒，安全厂商的自动化爬虫很快就能将其全站拉黑。他们通过“随机给真货”或者“根据 IP 筛选给货”，让安全论坛的狩猎者很难通过单一链接复现中毒环境，增加了样本采集的难度。
* 搜索引擎优化（SEO）与社会工程学：他们现在的假网站连域名都极其考究（如 huorong-safe.com），甚至花钱买搜索广告。这种“敬业”程度甚至超过了某些正版软件的推广团队。
3. 杀软的“漏杀”与“放任”：防御者的两难
你提到的卡巴斯基、360 有时会“放任运行”，这背后其实是安全厂商的平衡艺术：
* 信任链困局：如果木马是挂在 svchost.exe 下通过 RPC 远程调用 发起的，杀软如果直接熔断，可能会导致系统服务崩溃。
* 启发式保护的“冷启动”：对于“银狐”这种每天变异、连 C2 服务器都动态生成的样本，本地引擎在没有云端确认前非常谨慎。它们通常会先进行**“静默监控”**（即你看到的放任运行），记录其行为轨迹。
* 用户上报后的“查杀增强”：一旦有狩猎者上报，厂商会提取其独特的内核行为特征（比如该样本特定的 BYOVD 驱动加载顺序），然后下发微补丁。这就是为什么你会感觉上报后杀查力变强了。
4. 2026 年银狐的“新技术点”
如果你最近在进行样本狩猎，可以留意以下几个他们新玩的“脏活”：
* RPC 进程链加白：他们开始利用 ALPC 消息传递，通过 svchost.exe 启动任务，让进程链在管理器里看起来完全是“系统原生”的。
* TrueSight 驱动对抗：部分变种开始集成开源的或修改过的漏洞驱动（如 TrueSight），尝试在加载瞬间关闭杀软的内核回调。
* 文件增肥战术：有些样本会被塞入大量无意义数据，让文件体积超过 100MB 甚至更高。很多在线沙箱和杀软为了效率，会默认跳过对超大文件的深度扫描。

lingchenheiye

ESET拦截访问

微步报网址恶意：https://s.threatbook.com/report/ ... 0b2624d31f8d2958f5a

根据微步提供的历史样本结果，上面的伙计推断的一会儿放正常文件，一会儿放恶意文件的推测基本正确

Alexander1026

lingchenheiye 发表于 2026-2-15 16:31
ESET拦截访问

微步报网址恶意：https://s.threatbook.com/report/ ... 0b2624d31f8d2958f5a

我观察也是这样的，下了两次一次ZIP，360杀毒报毒，一次exe，签名正常，安装过程没有明显异常，360全家桶没反应

idhaname

另一钓鱼网址也已被拉黑

c199529

腾讯电脑管家18
ver:20260216

样本不报毒