摘要：近日，亚信安全应急响应中心在日常案件中截获银狐木马最新变种，该变种通过钉钉、微信等传播，以具有欺骗性文件名的钓鱼文件形式进行传播。用户一旦点击不明文件或扫描钓鱼二维码，电脑就会被远程控制。此外，不法分子还会利用受控设备建群，进行多次传播。

近日，亚信安全应急响应中心在日常案件中截获银狐木马最新变种，该变种通过钉钉、微信等传播，以具有欺骗性文件名的钓鱼文件形式进行传播。用户一旦点击不明文件或扫描钓鱼二维码，电脑就会被远程控制。此外，不法分子还会利用受控设备建群，进行多次传播。

该银狐变种为.EXE格式，其运行后注入到特定进程、通过内存解密执行payload、释放多个白加黑文件到特定目录，最终在内存中加载远控木马。

何为银狐木马

“银狐”是被亚信安全持续追踪的一种恶意软件，攻击者通过微信、钉钉等聊天工具、钓鱼邮件、钓鱼网站，诱使受害者执行伪装程序，最终下载远控木马，对受害者电脑进行控制，进而实施诈骗或勒索。尤其是针对接触大量财务交易的高价值受害者。

作为一种高度适应性和隐蔽性的恶意威胁，银狐木马的主要特征包括快速的日更新和变种能力，以及对多种文件格式的感染能力。它采用高级技术策略，如内存加载、动态解密、远程资源加载，以及跨平台的编程语言支持，从而实现复杂的免杀机制。此外，该木马还利用水坑攻击、钓鱼邮件等社会工程学手段进行传播，并通过静态样本免情报查杀，使其在网络安全领域构成严峻挑战。

2025银狐变种

攻击流程

技术细节分析

样本为C++编译的.EXE文件，从编译时间看为2025.03的新变种；

其运行后，在内存中解密和执行二阶段payload；

该payload为完整PE文件，从编译时间看也与初始EXE接近；

在其导出函数run中，进行进程注入和文件释放；

遍历查找explorer.exe和spoolsv.exe并写入到其内存

写入3个白加黑文件到C:Program FilesWindows Mail

libsmi.bin、libsmi.dll、smigpu.exe；

调用COM接口写入计划任务，运行白文件；

对初始文件自删除；

在三阶段中，smigpu.exe为白文件，具有有效数字签名；其通过导入表加载libsmi.dll；DLL加载同名.bin文件并在内存中解密执行，后续功能与之前版本一致。

“银狐”治理

亚信安全ATTK银狐专杀工具

ATTK是亚信安全研发的疑难病毒检测工具，不仅可以高效收集系统信息，还具备强大的病毒检测和查杀能力。

ATTK银狐专杀工具集成了梦蝶引擎的最新能力，包含10万条以上的启发式规则，机器学习模型和海量的云查杀病毒库。其中，梦蝶云查杀库新增每周350万+病毒样本检测能力，并建立了转向流程将流行样本和银狐木马加入本地特征库。

ATTK专杀工具优势：

无需安装，直接Copy单个文件到终端目录，双击执行；

选择“银狐专杀”将大幅优化检测效率，利用多重手段检测银狐常见驻留目录；

如果待检测机器可以直接访问互联网，海量云查杀库可极大增加病毒检测覆盖度；

专杀工具可自动提取扫描结果为压缩文件，导出后离线进行详细分析；

不要忘记勾选上“开启高检测模式”，乐享“暴力”查杀银狐的快感！

面对不断变种的银狐病毒

如何领先攻击者一步？

在AI的加持下，银狐变种不断来袭，勒索攻击技术已经实现自动化迭代与升级。面对以上威胁，亚信安全提出以“”云化”的方式，强化威胁数据的挖掘、分析、共享。

亚信安全天穹ImmunityOne，中国首个公有云SaaS终端安全产品，以EDR为核心的XDR SaaS平台，基于云原生和多租户技术架构，依托云端全面的威胁情报采集和威胁分析能力，提供7X24小时威胁分析专家服务，全面覆盖终端、网络、边界、身份等威胁检测、溯源、高级威胁治理和威胁狩猎等服务。

来源：亚信安全