安全预警:银狐新变种突袭医疗系统,火绒发布银狐专项...
System-Administartor
2025-12-06 13:22:22
0次
今日,火绒收到反馈,浙江地区多家医院外网电脑遭受远控木马攻击,多人遭受不同程度的财产损失。该事件引起火绒团队高度重视,立即组织专项小组展开调查。经了解,该木马病毒通过钉钉、浙政钉、微信等即时聊天工具,以具有欺骗性文件名的钓鱼文件形式进行传播。一旦用户点击不明文件或扫描钓鱼二维码,电脑或手机就会被远程控制。并且不法分子还会利用受控设备建群,进行多次传播。火绒安全提醒广大用户:切勿轻信不明来源文件及信息,及时安装安全软件并定期进行查杀。
经火绒安全工程师分析确认,不法分子是利用IP-guard对用户进行了远控,病毒样本是一个携带恶意Gh0st后门病毒的QT程序,将加密的恶意代码以资源的形式嵌入PE文件。当程序执行时,这些恶意代码会被释放并利用RPC和COM等系统特性实现后门的持久化,从而在用户不知情的情况下监控电脑活动,持续收集信息并执行恶意操作。信息确认过程中,感谢合作伙伴万宗网络科技(上海)有限公司积极为我们提供帮助。目前,火绒安全产品能够有效识别此类银狐木马,保障用户系统的安全,请广大用户及时更新病毒库以提高防御能力。
查杀图
银狐木马家族自2021年出现至今,一直保持高度活跃,其攻击目标从早期针对中小企业,逐步转向医疗、教育等民生领域,形成"终端控制-信息窃取-横向渗透"的完整攻击链。基于此类安全威胁,考虑到存在不方便安装火绒安全软件的环境,且IP-guard存在被黑客利用风险,同类事件反馈一直持续。火绒将上线针对银狐远控木马进行查杀的火绒银狐木马专杀工具,以帮助用户更好地防范此类病毒的攻击。该专杀工具会清除环境内IP-guard远控工具,若您需要使用IP-guard,请谨慎使用或在使用专杀工具后重新安装IP-guard。
火绒银狐木马专杀工具
一、样本分析
样本执行流程图如下:
流程图
首先,该样本通过分配内存填充PE。
分配PE_load内存
之后通过内存PE加载恶意代码进行内存加载PE。
内存加载PE
其加载流程为分配内存、解密PE、修复PE、执行PE导出函数run。
加载PE流程
其解密函数如下。
解密函数
将解密后的PE进行dump分析后,导出函数run,具体过程如下。
首先判断当前进程是否为winlogon.exe进程,如果不是则注入到winlogon.exe进程并判断是否有管理员权限,随后在winlogon.exe进程当中写白加黑文件,并将其创建计划任务。
run函数
采用分配远程内存的方式注入winlogon.exe进程。
进程注入
RPC启动注入线程
之后将白加黑文件写入到C:\Program Files\Windows Mail目录。
写白加黑文件
通过com接口{4c3d624d-fd6b-49a3-b9b7-09cb3cd3f047}写计划任务。
com接口计划任务
计划任务
随后创建线程删除初始文件。
删除初始文件
对白加黑文件进行分析后发现,该文件采用分离恶意代码的方式进行加载:先将恶意代码加密后写入到arphaDump64.bin文件中,再采用内存加载的方式进行加载。
读取arphaDump64.bin
随后,通过相同的方式使用PE_shellcode加载PE,并从内存中dump出PE。经分析发现,该模块为后门模块。对函数进行分析后,确认该病毒为银狐变种,其后门模块与火绒之前分析的样本后门模块一致,导出函数run及后门命令号也相同。具体细节可查看往期分析报告:《银狐新变种于幕后潜行,暗启后门远控窃密》
以下是主函数对比图。
主函数对比图
后门命令号对比如下。
任务号
下载执行
二、附录
C&C:
HASH:
相关内容
热门资讯
mw_shl_code
[mw_shl_code=cpp]#include using namespace std;doub...
Abantes样本分析报告
1.文件分析文件信息名称: Abantes.exe大小: 2271744 字节 (2218 KiB)...
[分析报告] 病毒伪装搜狗输入...
近期,火绒工程师在关注安全动态过程中发现,存在一种后门病毒以伪装成搜狗输入法的形式进行传播。此病毒采...
WinRAR 爆出高危安全漏洞...
趋势科技近日收到来自安全研究员 whs3-detonator 的私密报告,指出知名压缩管理器 Win...
银狐钓鱼再升级:白文件脚本化实...
近期,火绒威胁情报中心监测到一批相对更为活跃的“银狐”系列变种木马。火绒安全工程师第一时间获取样本并...
恶意软件分析报告 Mandel...
恶意软件分析报告 Mandela.exe名称: Mandela.exe大小: 15917568 字节...
“赛博花柳”借Wallpape...
近期,火绒安全论坛收到大量用户反馈,知名软件《壁纸引擎(Wallpaper Engine)》的创意工...
2025-07 注册永久免费域...
今天给大家推荐一个稳定又非常不错的免费域名注册方案,来自非盈利组织:digitalplat,申请注册...
MoonTV 一个开箱即用、...
🎬 MoonTV 是一个开箱即用、跨平台的影视聚合播放器。基于 Next.js 14 + Tailw...
勒索病毒自救手册
前 言 勒索病毒威胁已经成为当前最受关注的网络安全风险之一。而结合信息窃取和泄露的二...
免责声明
本站为个人博客,博客所发布的一切破解软件、补丁、注册机和注册信息及软件的文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。
本站所有内容均来自网络,版权争议与本站无关,您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容,如有需要,请去软件官网下载正版。
访问和下载本站内容,说明您已同意上述条款。
本站为非盈利性站点,不贩卖软件,不会收取任何费用,所有内容不作为商业行为。
正在初始化播放器,请稍后
.social-panel-container {
position: fixed;
right: 0;
bottom: 80px;
transform: translateX(100%);
transition: transform .4s ease-in-out
}
.social-panel-container.visible {
transform: translateX(-10px)
}
.social-panel {
background-color: #fff;
border-radius: 16px;
box-shadow: 0 16px 31px -17px rgba(0, 31, 97, 0.6);
border: 5px solid #001f61;
display: flex;
flex-direction: column;
justify-content: center;
align-items: center;
font-family: 'Muli';
position: relative;
height: 169px;
width: 370px;
max-width: calc(100% - 10px)
}
.social-panel button.close-btn {
border: 0;
color: #97a5ce;
cursor: pointer;
font-size: 20px;
position: absolute;
top: 5px;
right: 5px
}
.social-panel button.close-btn:focus {
outline: 0
}
.social-panel p {
background-color: #001f61;
border-radius: 0 0 10px 10px;
color: #fff;
font-size: 14px;
line-height: 18px;
padding: 2px 17px 6px;
position: absolute;
top: 0;
left: 50%;
margin: 0;
transform: translateX(-50%);
text-align: center;
width: 235px
}
.social-panel p a {
color: #ff7500;
text-decoration: none
}
.social-panel h4 {
margin: 20px 0;
color: #97a5ce;
font-family: 'Muli';
font-size: 14px;
line-height: 18px;
text-transform: uppercase
}
.social-panel ul {
display: flex;
list-style-type: none;
padding: 0;
margin: 0
}
.social-panel ul li {
margin: 0 10px
}
.social-panel ul li a {
border: 1px solid #dce1f2;
border-radius: 50%;
color: #001f61;
font-size: 20px;
display: flex;
justify-content: center;
align-items: center;
height: 50px;
width: 50px;
text-decoration: none
}
.social-panel ul li a:hover {
border-color: #ff6a00;
box-shadow: 0 9px 12px -9px #ff6a00
}
.floating-btn {
border-radius: 26.5px;
background-color: #001f61;
border: 1px solid #001f61;
box-shadow: 0 16px 22px -17px #03153b;
color: #fff;
cursor: pointer;
font-size: 16px;
line-height: 20px;
padding: 12px 20px;
position: fixed;
bottom: 20px;
right: 20px;
z-index: 999
}
.floating-btn:hover {
background-color: #fff;
color: #001f61
}
.floating-btn:focus {
outline: 0
}
.floating-text {
background-color: #001f61;
border-radius: 10px 10px 0 0;
color: #fff;
font-family: 'Muli';
padding: 7px 15px;
position: fixed;
bottom: 0;
left: 50%;
transform: translateX(-50%);
text-align: center;
z-index: 998
}
.floating-text a {
color: #ff7500;
text-decoration: none
}
/* 确保代码块正确换行 */
.code-block-wrapper pre code {
white-space: pre-wrap !important;
word-break: break-all !important;
word-wrap: break-word !important;
}
/* Markdown内容样式增强 */
.markdown-content pre {
background: #f6f8fa !important;
border-radius: 8px !important;
padding: 16px !important;
overflow-x: auto !important;
margin: 1em 0 !important;
}
.markdown-content code:not(pre code) {
background: #f1f3f4 !important;
padding: 2px 6px !important;
border-radius: 4px !important;
font-size: 0.9em !important;
}
人生倒计时
今天已过去 20 小时
84%
本周已过去 2 天
28%
本月已过去 26 天
86%
今年已过去 8 个月 零 26 天
66%
离春节还有137天4时
62%