安全宣传月 | 一起了解“银狐”病毒那些事

      银狐（又名：“游蛇”“谷堕大盗”等）是一款专门针对企事业单位管理、财务等从业人员进行攻击的木马病毒变种之一 ，通过微信、QQ、邮件以及伪造工具网站等渠道进行钓鱼攻击，主要面向政府、高校及企事业单位等关键行业 ，攻击目标集中在财务和会计领域的专业人员 ，多采用进程注入、无文件攻击及签名伪造等多种技术绕过安全防护，远程控制受害者的计算机，窃取用户的敏感数据和财产信息，具有高度隐蔽性，对中国企事业单位和个人的信息安全构成严重威胁。

病毒文件截图如下所示：

钓鱼信息截图如下所示：

1. 用户于2025年3月24号17点37分左右解压打开了恶意exe程序，该病毒程序经过免杀处理，点击无任何反应。

2.用户于2025年3月24号17点37分左右解压打开恶意exe程序，通过查看深信服AES杀毒记录，创建银狐远控文件（libsmi.bin、libsmi.dll、smigpu.exe）时间为3月24日17点38分04秒，并且创建权限维护计划任务【.NET Framework NGEN v4.0.30318】文件及维护计划。

3.查看.NET Framework NGEN v4.0.30318计划任务文件，该计划任务程序通过定时调用释放的病毒文件进行远控操作。后续被攻击者使用IP-Guard(安全运维管理工具)进行维权。

4.通过对历史操作记录的排查发现，恶意攻击者创建的钓鱼图片信息如下所示：

5.确定所有恶意文件已被删除后，使用银狐专杀工具对终端运行进程和文件进行查杀，清除终端遗留恶意程序及计划任务程序及计划任务程序文件，根据查杀结果确定终端中存在IP-Guard远控软件（该远控软件常被用于银狐权限维持和内网横向）。

6.使用专杀工具清除病毒后，再次通过查杀工具进行二次扫描，此时已没有银狐病毒程序，并使用IP-Guard卸载工具进行卸载，卸载工具如下图所示：

7.因电脑重启过，并未发现可疑的进程和网络连接信息，排查深信服态势感知发现回连恶意IP地址： 16.162.51.162

8.经微步情报查询，确定为银狐病毒回连服务器恶意IP地址。

9.相关恶意文件MD5值如下所示：

至此，我公司完成此次安全事件的应急处理，因未得到病毒母体文件，无法对病毒进行进一步分析。为杜绝此类事件的再次发生，深信服MSS云端平台已经做了专门的银狐告警生成策略，如有感染将触发策略，可及时通知我公司进行现场应急处理，根据我公司所得到的银狐病毒恶意IP和恶意域名情报，建议将以下IP、域名进行封禁处理:

1. 立即对所有失陷主机进行网络隔离并使用银狐专杀工具查杀后，若单位并未使用IP-Guard远控工具，可使用IP-Guard卸载工具进行软件卸载。
   

2. 检查失陷主机计划任务，删除恶意攻击者遗留的残留文件。
   

3. 防止员工电脑关机造成查杀不及时，若单位购买了网络版杀毒软件，建议调整杀毒软件查杀时间点为每天上班时间段进行分批分时段查杀。
   

4. 建议立即更新病毒库，对所有终端全盘杀毒任务，对恶意文件进行删除隔离，并通过强力专杀工具进行查杀。
   

5. 通过防火墙将恶意IP地址、恶意域名加入到黑名单中。
   

6. 必要时可针对失陷主机全盘格式化并重装系统。