银狐投毒心不死，保持一级警戒！

作者：360安全卫士发布时间：2024-09-04

在网络上肆虐了去年一整个夏天的银狐

活跃度不断攀升

360安全大脑也发布了多次银狐攻击的预警

到今年下半年，银狐已成为国内最为流行的“远控与电诈”类木马

如今，它又在阴暗的角落里蠢蠢欲动了！

快跟随360安全卫士一起“知己知彼，百战不殆”吧！

“银狐”究竟是何方妖孽？

“银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。它常常利用微信、钓鱼网页等方式以虚假的“发票”、“财税”、“人员名单”等相关信息为幌子进行传播。

例如下面这个钓鱼网页便是伪装成税务稽查通知，诱骗用户下载其附件并运行。该钓鱼网页具有很大的迷惑性，用户稍不留神便会中招。看见《9月份涨薪名单》、《财会人员薪资补贴调整政策所需材料》这些链接，也千万要提高警惕哦！

图1. 银狐木马典型钓鱼页面

银狐木马为患已久

而银狐木马一旦完成对受害者设备的感染便会开启免杀对抗机制，为了能长期控制用户电脑开始打起了正规软件的主意。通常的病毒木马，即使能够成功对安全软件实现免杀，也很快会被安全公司监测到，进而在安全软件更新升级后查杀。而银狐木马则利用了一些正规的企业管理软件来实现在系统中的长期驻留，比如：ip-guard、固信终端安全、阳途终端安全等。

这类软件本身是用于企业IT管理使用的，能够通过软件的管控平台对终端设备进行集中管理和运行监控。木马利用管控软件的这一特性，静默或诱骗用户安装其客户端，并在后台对用户实施监控和远程控制。

同样也因为这些软件本身是正规企业出品的软件产品，往往会被安全软件列入信任名单，从而不会被拦截和查杀。此外，此类软件也具备“自我保护”能力来防止被停用或卸载，所以一般用户即使发现异常也难以清除。最终，受害用户便会在不知不觉的情况下被黑客长期控制。黑客以受害用户的设备作为跳板，进一步扩散病毒木马，甚至发起新一轮的诈骗。我们也收到了一些用户反馈称电脑经常被黑客控制，而安全软件却无法查杀。

打响银狐歼灭战

江湖苦“银狐”久矣，但因为其强大的再生性和成长性，一直都没有完全消灭它的踪迹！这一次，360安全大脑率先打响银狐攻坚战，还用户们一个“无狐”的自由冲浪世界！

360安全大脑最新推出了对此类常被银狐木马利用的“管理软件”的监测功能。一旦发现异常安装，便可自动对相应软件进行“灭活”及卸载操作。此功能可让受攻击设备迅速脱离黑客控制，彻底解决用户被长期控制而无法查杀的问题。因不慎感染了银狐木马而被黑客控制的机器，可以尝试使用最新版的360安全卫士进行查杀。

图2. 360安全卫士卸载被银狐木马利用的管控软件

下面我们以一个近期收到的受害者反馈情况为例，简单展示一下ip_guard远控软件是如何被安装到用户机器上的。

首先银狐木马会通过微信钓鱼攻击该用户，诱骗用户点击该远控木马。

图3. 受害用户被诱骗后运行远控木马

该木马会多次尝试退出360主防，然后释放ip_guard管控客户端的静默安装包。在完成ip_guard的安装工作后，黑客就可以远程控制受害用户机器，甚至对其进行进一步的诈骗操作。

图4. 远控木马长期驻留系统并伺机进一步发难

杜绝“银狐”侵害小妙招：