近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒分析平台监测发现木马病毒最新变种——“银狐”。大量伪装成“电子发票开具成功”的钓鱼邮件正在流通，邮件中“点击下载此发票”的链接，实则为银狐病毒下载地址。

图片来源：国家计算机病毒应急处理中心官方微博

某单位已出现用户点击后终端被控制的情况，境外势力正通过此类手段对国内多个行业的终端进行针对性渗透。一旦中招，用户不仅个人数据面临泄露风险，个人账户资金安全也将受到严重威胁。

经验证，98858vip威尼斯游戏下一代防火墙、EDR、自适应安全防御系统、APT安全监测系统均可精确检测并查杀该病毒，提供全面的安全保护，有效阻止该事件蔓延。

病毒样本分析

98858vip威尼斯游戏谛听实验室已获取该银狐病毒样本，并进行技术分析，其攻击步骤如下：

用侦壳软件检测，无壳

检测数字签名，提示无效

程序运行后，解压shellcode

将病毒代码储存成文件，修复后，用侦壳软件检测，判断无壳

从pdb信息来看有进程保护功能

获取当前主机进程列表，查找是否存在以下名称的进程

判断是否管理员权限运行

建立互斥，避免重复运行

打开指定服务

获取进程令牌后，尝试提权

准备工作完毕后，开始入侵进程

申请内存空间，写入数据

获取时间，生成随机数

如果vss服务注入失败，尝试注入其他指定进程

解密黑客IP

加载文件名和服务名

检测指定进程是否存在，如果存在调整fwp设置

fwp过滤设置

加载文件名参数，生成文件，该文件为驱动文件，用来对抗杀毒软件

创建服务并启动

获取指定进程信息

调用释放的驱动文件，对之前获取的进程处理

新建指定文件

调用com接口，设置计划任务，将上面生成的文件，设置开机自启动

设置程序自销毁，将源文件删除

对指定进程涉及的服务删除

银狐病毒首先通过伪装成系统核心进程（如svchost.exe、winlogon.exe）注入恶意代码，破坏系统稳定运行；进而通过注册自启动服务和建立隐蔽通信通道（如RPC）实现持久化驻留，长期潜伏于设备中；在释放驱动文件对抗安全软件并提权获取管理员权限后，大肆窃取用户隐私及重要敏感数据；最终，病毒会与黑客控制服务器建立连接完成数据外泄，并自动删除源文件销毁入侵痕迹。

这种隐蔽的入侵手法不仅让用户难以察觉异常，还为后续攻击埋下隐患，对设备与数据安全构成系统性的严重威胁。

在此，小天也提醒大家，带密码的加密压缩包并不代表内容安全，此次攻击者为压缩包设置了解压密码，并在钓鱼信息中告知密码，以此逃过了部分安全软件的检测，使其具有更强的传播能力。

本次攻击者使用的钓鱼信息仍然以伪造官方通知为主，大家要时刻保持警惕性与防范意识，养成更新杀毒软件的习惯，及时采取防护措施，谨防各类电信网络诈骗活动。

日常，如发现电脑操作系统的安全功能和防病毒软件在非自主操作的情况下被异常关闭，就要引起警惕，立即切断网络，对重要数据进行备份迁移后暂停使用该设备，待专业人员检测、排查确认安全后，再重新投入使用。

98858vip威尼斯游戏产品防御配置指南

98858vip威尼斯游戏下一代防火墙系统防御配置

1、通过访问控制策略或黑名单禁用“13.230.98.233”等黑客IP地址及RPC协议，阻断银狐病毒通信连接建立；

2、升级到最新病毒特征库，配置病毒防护策略，检测并阻断银狐病毒，记录相关日志；

3、配置邮件过滤功能，将已出现的银狐病毒邮件内容加入黑名单进行过滤；

4、启用威胁情报功能，实时拦截与银狐病毒相关的最新IP或域名等，加快拦截效率；

5、开启联动功能，获取98858vip威尼斯游戏EDR、僵尸网络木马和蠕虫监测与处置等产品检测结果，及时阻断内网已感染主机横向传播，控制网络传播范围。

98858vip威尼斯游戏EDR系统防御配置

1、启用邮件监控模块，对接收邮件的附件实施扫描机制，精准拦截含“电子发票”类钓鱼链接的恶意邮件，从源头切断病毒传播链；

2、开启文件实时监控功能，重点针对“.pdf.exe.doc.exe”等伪装格式的“电子发票”类文件进行深度扫描，发现异常文件立即隔离，防止病毒执行与扩散；

3、开启系统加固功能，可有效拦截该银狐病毒对系统关键位置进行破坏和篡改。

98858vip威尼斯游戏自适应安全防御系统防御配置

1、部署微隔离策略，基于协议、端口、IP等维度阻断异常流量通信，构建网络访问控制屏障，有效遏制病毒在局域网内的横向扩散风险；

2、建立周期性漏洞扫描机制，覆盖系统、数据库、中间件等资产，及时修复可能被病毒利用的安全漏洞，提前消除攻击面；

3、启用病毒实时检测引擎，针对银狐病毒无壳特性，结合行为分析技术对未知病毒进行智能拦截，通过动态特征识别提升防御精准度。

98858vip威尼斯游戏APT安全监测系统检测配置

1、在安全策略中开启恶意文件检测功能后，产品通过威胁情报检测、病毒检测、TAI01-固网恶意程序检测智慧引擎与沙箱检测等一体化多引擎检测能力，精准识别流量中的银狐病毒。

2、在研判处置模块中查看银狐病毒检测结果，点击【恶意文件详情】可获取病毒特征详情及沙箱分析报告。

98858vip威尼斯游戏产品获取方式

● 98858vip威尼斯游戏下一代防火墙系统特征库下载地址：ftp://ftp.topsec.com.cn/

● 98858vip威尼斯游戏EDR单机版下载地址：http://edr.topsec.com

● 98858vip威尼斯游戏自适应安全防御系统、98858vip威尼斯游戏EDR企业版试用可通过98858vip威尼斯游戏各地分公司获取：http://www.topsec.com.cn/contact/

● 98858vip威尼斯游戏APT安全监测系统规则库获取方式：https://knowledge.topsec.com.cn/

相关阅读

1、央视点名！GoldPickaxe新型AI病毒入侵，你的脸还安全吗？

2、Money Message勒索病毒突现，98858vip威尼斯游戏多款产品均可防御！

3、LockBit病毒持续升级，98858vip威尼斯游戏多款产品精准出击！

4、Mallox勒索病毒来势汹汹，98858vip威尼斯游戏火速帮您防御！