应急响应 | 一次银狐病毒的排查思路总结记录

★关注我们 ❤️，添加星标 🌟，一起学安全！ 作者：Limerence 本文字数：1848 阅读时长：1 ～ 3mins 声明：仅供学习参考使用，请勿用作违法用途，否则后果自负

0x01 银狐介绍

银狐是一款专门针对企事业单位管理、财务等从业人员进行攻击的木马病毒变种之一 ，通过微信、QQ、邮件以及伪造工具网站等渠道进行钓鱼攻击，主要面向政府、高校及企事业单位等关键行业，攻击目标集中在财务和会计领域的专业人员 ，多采用进程注入、无文件攻击及签名伪造等多种技术绕过安全防护，远程控制受害者的计算机，窃取用户的敏感数据和财产信息，具有高度隐蔽性，对中国企事业单位和个人的信息安全构成严重威胁。

0x02 病毒特点

0x03 行为特征

内存写入、代码注入、进程注入、隐藏文件、修改内存数据、创建快捷方式、获取按键信息、创建可执行文件、释放文件、检测驱动、dll反射加载、创建进程、查询计算机名。

执行链如下：

0x04 排查思路

1、查看下载目录是否存在恶意文件

银狐病毒通常会由浏览器下载，计算机默认的下载目录可能存在恶意文件。

2、查看浏览器下载记录

web邮箱登录、浏览器下载，即便清除了下载目录，浏览器也会存在相应记录。

3、查看微信下载记录

银狐病毒会通过微信群等进行传播，受害者通过微信群点击下载或开启微信自动下载功能，病毒会保留在微信文件目录，文件地址：

C:\Users\apple\Documents\WeChat Files\wxid_xxxxx\FileStorage\File\

4、微信聊天内容截图

银狐病毒运行后会对微信聊天内容进行截图，并在本地新建文件夹进行保存，文件地址：

C:\ProgramData\xxx\2025-7-25\微信截图\

5、感染/权限维持

银狐病毒会将病毒自身复制到多个文件夹，大部分会在用户目录下，文件地址：

C:\Users\apple\AppData\Local\Temp\12204\12205

银狐病毒会释放多个文件，在公共文档、用户目录等文件夹下，释放多个样本，用作权限维持等功能。

6、远控

银狐病毒运行后，攻击者可通过远程对主机进行操作，包括利用微信、邮箱等群发消息等。

7、进程注入

银狐病毒运行后会执行进程注入等操作。

8、文件类型

银狐病毒除自身样本外，可能存在多个快捷方式（权限维持）、python文件（进行加密）、dll、jpg（输出，进程注入）等，可排查主机上陌生exe文件、python文件、dll文件、快捷方式等，如主机存在everything，可根据时间排序对文件进行排查，如无everything，则可优先排查公用下载、公用文档、下载、回收站、浏览器下载记录、微信下载记录、用户相关目录（C:\users\apple\Appdata\Local\Temp）等相关目录，查看是否存在异常。

0x05 防护建议

1. 主机防护：对主机用户权限进行，根据用户情况对权限进行限制，避免普通用户执行高危操作。
2. 风险收敛：对IM（微信、飞书等）可下载的文件类型进行管控，避免IM传播恶意代码和钓鱼模板，设定企业IM的拉群上限和白名单，关闭不需要的功能。
3. 行为采集与检测：全面采集和攻击者相关的各类操作系统行为，保证攻击过程可追溯。
4. 终端管控：对邮箱、个人终端进行管控，可及时清理相关样本，对终端进行断网，并通过群聊通知，避免大范围传播。
5. 预防：及时将恶意文件在杀软中加黑hash，并进行全盘查杀，并通过everything清除中毒时间段的恶意文件，如无法确认是否清理干净，可备份工作文件，格式化电脑。