刚刷到短视频然后进行验证了下,然后通过电脑自带edge的bing搜索引擎,搜索下载“向日葵”远程软件,会出现较为相似难以分辨的软件下载页,如下: 从图上第二个伪装的很像向日葵官网的网址下载的软件为zip包: 各位佬友帮人下载远程软件的时候注意区分 1 个帖子 - 1 位参与者 阅读完整话题
起因是我一起干项目的朋友发圈说他中银狐木马了,我昨天才收过他的ppt 今天用火绒扫了一下有点吓人啊,不过我看virus出现的地方大多是驱动和远程控制相关的,这是中病毒了吗 5 个帖子 - 5 位参与者 阅读完整话题
IT之家 5 月 22 日消息,今日,国家互联网应急中心 CNCERT 发布关于黑产团伙批量搭建高仿真钓鱼网站大规模传播银狐木马的风险提示,IT之家整理如下: 一、事件概述 近期,CNCERT 监测发现银狐远控木马通过批量生成的高仿真钓鱼网站大规模传播,样本落地后将 Shellcode 注入系统关键进程执行远控,与境外 C2 服务器建立持久化连接,实现对主机的隐蔽控制。 黑产团伙疑似利用 AI 工具大幅提升钓鱼页面制作效率 ,结合域名批量注册、仿冒网站访问流量精细化监测等手段,形成“网络钓鱼 → 木马下载 → 进程注入 → 远控控制”的完整攻击链。 二、钓鱼网站特征分析 对 2026 年 2 月 6 日-5 月 4 日注册的 439 个钓鱼网站域名分析,这些网站的主要特点如下: 1)钓鱼网站主要围绕办公软件、浏览器和通讯 / 代理类软件进行仿冒,其中 wps、chrome 合计 340 个,占 77.4%。 2)注册行为具有明显的批量化特征,发现最高峰一分钟内注册 15 条 letsvpn 相关域名。 3)域名后缀策略高度集中, hl.cn 占 42.6%, com.cn 占 30.8%,二者合计 73.4%。 4)命名模板复用明显,常见关键词包括 zh、cn、apps、web、office 并大量使用字母重复、缺字、错拼等手法。 5)钓鱼网站在 bing 搜索网站上通过 SEO 投递,确保网站能在 bing.com 网站搜索到;钓鱼网站会检测 refer 头信息,确保访问必须来自搜索引擎,若直接通过域名访问,这些钓鱼网站会跳转 bing.com 或者其他不可访问的网站,防止钓鱼网站被分析。 6)钓鱼页面并未对官方网站进行原样仿造,而是呈现出高度标准化的前端结构、清晰规整的 HTML 注释,且大量采用通用化前端技术栈。针对同一仿冒主题(如 Chrome 浏览器),不同时间注册的页面在布局与内容上均不统一。综合判断,此类钓鱼页面疑似由 AI 编码快速生成。 被仿冒软件占比分布: 相似软件 数量 占比 google/chrome 179 40.80% wps 161 36.70% telegram 24 5.50% letsvpn 18 4.10% whatsapp 12 2.70% kuailian 11 2.50% youdao 10 2.30% bitbrowser 5 1.10% clash 4 0.90% 顶级域名占比分布: 顶级域名 数量 占比 含义 hl.cn 187 42.60% 中国黑龙江地域二级域名 com.cn 135 30.80% 中国商业机构二级域名 cn 102 23.20% 中国国家顶级域名 ac.cn 8 1.80% 中国科研 / 学术机构二级域名 hk.cn 5 1.10% 中国香港地域二级域名 hn.cn 1 0.20% 中国湖南地域二级域名 ah.cn 1 0.20% 中国安徽地域二级域名 三、案例分析 (一)批量搭建钓鱼网站 攻击者疑似使用 AI 技术批量化搭建钓鱼网站。该黑产团伙批量制作仿冒 Chrome、Clash、WPS 等主流常用软件的高仿真钓鱼页面,将页面伪装成官方正版下载入口,以此诱导用户点击并下载恶意程序。如下图所示,为仿冒 Chrome、WPS、Clash 下载的钓鱼页面样例。 这些仿冒网页前端代码有较强的编码固定格式,且对代码段有相对应的注释说明,如下图所示,仿冒有道翻译和 Clash 的两个网站,其 html 代码样式高度一致。 (二)恶意木马投递 攻击者通过钓鱼网站完成木马投递。钓鱼网站会向用户提供携带恶意程序的压缩包下载链接,相关恶意资源文件大多存储于境外云存储服务平台或国内云对象存储服务中,通过多层跳转下载的方式迷惑用户,降低早期被检测拦截的概率。 (三)系统进程注入 银狐木马样本执行后实施进程注入行为。样本运行后,在安装真实 Chrome、WPS 等软件的同时,会将恶意 shellcode 注入到 ctfmon.exe 、 sihost.exe 、 svchost.exe 、 elevation_service.exe 等系统关键进程中,以合法系统进程为掩护,实现恶意代码的隐蔽运行。下图为 EDR 产品告警,可以看出,被控主机与 C2 的通信均使用 Windows 的系统进程。 (四)远程控制连接 被注入进程主动发起远控连接。被植入恶意代码的系统进程会主动外联境外 C2 服务器,通信端口主要为 443 端口与 22 端口,成功建立连接后接收攻击者下发的远控指令,完成数据窃取、文件操作、持久化驻留等恶意行为。 (五)钓鱼网站访问统计 这些钓鱼页面使用了免费流量统计技术服务提供商 51.LA 的网站统计来对钓鱼网站的访问量,访问时长,来源页面等来做统计分析。利用这些统计数据,黑产团伙能够专业化的开发钓鱼网站,计算钓鱼网站的 ROI(投入产出比),精准优化钓鱼策略,提升攻击成功率。下图为钓鱼网站的统计代码。 每种钓鱼应用会通过不同的 ID 进行区分统计,各应用对应 ID 的如下表所示。 仿冒对象 统计 ID clash L4rC8E7ISMR5cOyi / L56E7kDSHNvNpfzY 快连 L4NNnKpJZ0RcW8GY / L4e6WH4KcxTQEsJO chrome L4eCf0G8oXvab2n7 / L4S9pW46ugZ5HLhW teams L4ixuUuJi0dA2nYF WPS L5OOMojcmFzavw26 搜狗浏览器 L5MbevAiByh9Bosu telegram L5TOP7tRWKlFL5Su 四、恶意样本分析 对仿冒 Chrome 的应用的安装包进行分析,发现该软件运行后会安装真实的 Chrome 软件,同时该程序会将恶意代码注入系统进程中隐藏自身。样本相关信息如下表所示: 属性 值 来源钓鱼网站 mb-google-chrome.hl.cn 样本下载链接 https://xgootd.oss-cn-hongkong.aliyuncs.com/ggpc_win64_14.zip 样本 hash 2f8cf966b3fc87ba1a8151428a36652e78f2d57005621eecd514629a902e88b5 样本名称 ggpc_win64_14.zip 样本 C2 sangbiao11.com (137.220.154.107:22) 样本简述 样本为 Gh0st 远控木马,通过 VMP 加壳以及内存加载的方式规避检测,最终实现远程命令执行和敏感数据窃取等恶意功能。 该样本为“Inno Setup”打包的软件安装文件,样本打包于 2026 年 1 月 2 日。 安装文件运行后会在“ C:\Drivers\ySCqV\cb3uGF\s6quO\VPUE ”目录下释放文件并运行可执行文件 Hveuh3.exe 。 Hveuh3.exe 具有无效的数字签名,且含有 PDB 路径:“ E:\CC\lab_release\video\src\client2\GameLiveTool\Release\x64\D3DHook.pdb ”。通过该 PDB 地址分析可执行文件是基于一个游戏录屏、直播、外挂检测项目的正常代码,样本编写者可能具有游戏外挂编写能力,同时做了远控木马的开发。 可执行文件 Hveuh3.exe 文件会加载同目录下的可执行文件 0C5uqPzO.Uww ,该文件为 vmp 加壳的 dll 可执行文件,文件信息如下图所示。 可执行文件 Hveuh3.exe 文件会导入 0C5uqPzO.Uww 文件中混淆后的导出函数,如下图所示。 恶意 dll 文件 0C5uqPzO.Uww 会使用 CreateFileW 方法读取同目录下的加密 Shellcode 文件 L0PM0o0j.EC ,并进行内存加载。 样本同时将释放目录“ C:\Drivers\ySCqV\cb3uGF\s6quO\VPUE ”设置为不可删除和无法访问: 动态调试发现该样本会获取 system 权限,创建服务自启动,并在“ sihost.exe/ ctfmon.exe ”等系统进程中注入 gh0st 载荷,并加密配置保存在 config.ini 文件中: config.ini 保存在“C:\ProgramData\”下随机生成的目录中,如下图所示。 植入完成后,会与其 C2 地址进行通信,C2 地址为 sangbiao11.com (137.220.154.107:22)。 五、控制规模 通过关联分析已发现 17 个相关 C2 恶意域名,和 20 个 C2 的 IP 地址。通过监测分析发现,2026 年 4 月 8 日-5 月 7 日,相关木马境内肉鸡数最高达 2.6 万台,累计感染肉鸡数达到 18.2 万台,每日总上线规模变化趋势如下图所示。 其中日控制规模超 500 的恶意 IP 有 9 个,其每日被控 IP 数变化如下图所示。其中,近 1 个月总控制规模超 10000 个 IP 的 C2 共有 6 个,分别是 185.203.39.134( dd.kmsccedn.com ),182.16.88.242( vaeth.cn ),103.12.148.80( feiji22.vip ),137.220.158.22( www.amdyjl5.com ),27.124.2.150( www.w1pf9.com ),104.143.33.78( www.vpconn.fit )。 六、防范措施 请广大网民强化网络安全风险意识,提高自我防范能力,谨防仿冒软件、恶意程序侵害,避免造成财产和信息损失,主要防范建议如下: 1)优先认准软件官方网站(如 www.wps.cn )及手机、电脑官方应用商店;警惕搜索引擎结果中带有乱码前缀、拼接拼凑式的域名链接,例如 kn‑ wps.com.cn 、 www-wps-cn.com 等,这类链接大多为仿冒钓鱼网站,切勿点击下载。 2)提高对搜索引擎标注“广告”链接的警惕性,大量恶意软件、仿冒下载链接常通过广告置顶展示,尽量避开广告条目,优先选择自然排名的普通搜索结果。 3)全程开启杀毒软件实时防护功能,定期进行全盘安全扫描,及时更新电脑及手机操作系统、常用软件的安全补丁,修补安全漏洞。 4)日常留意设备流量使用与运行状态,及时排查异常网络流量、陌生后台行为;若发现设备疑似感染银狐木马等恶意程序,立即核查被控风险,第一时间隔离并清理受害设备。 七、相关 IOC 控制端 IP 地址 103.73.220.57 47.76.195.75 104.143.33.78 103.156.25.99 122.248.198.240 203.91.74.8 154.23.183.157 47.76.255.167 27.124.2.150 185.203.39.134 103.12.148.80 137.220.158.22 182.16.88.242 192.238.128.30 103.156.25.99 54.254.148.22 154.23.184.120 192.252.176.79 47.130.236.119 137.220.153.134 控制端域名 www.ozz79u.com www.danpengit.com www.vpconn.fit ychsq.icu womsz.com tmm.magentaias.com ltan7942.top dd.kmsccedn.com www.w1pf9.com www.amdyjl5.com feiji22.vip woyfc.com vaeth.cn www.hongyun4.com www.chishuikaisuo.com www.xr95633.com rtjthgjnwetghf39.top
IT之家 5 月 21 日消息,近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台捕获多个文件名中包含“内部调查结果”“违纪名单”“违纪通报信息”“裁员补偿”等词汇的恶意程序,这些恶意程序表面上伪装成快捷方式、文件夹、文档文件或压缩包文件, 实际为针对 Windows 平台用户的远程控制木马病毒 。 ▲ 攻击活动过程示意图 经分析, 发现这些木马病毒均为针对我国用户的“银狐”(又名“游蛇”“谷堕大盗”“UTG-Q-1000”“Silver Fox”等)木马病毒攻击活动的最新变种 。如果用户不慎运行相关恶意程序文件,将被攻击者实施远程控制、窃密等恶意操作,并可能被网络犯罪分子利用充当进一步实施电信网络诈骗活动的“跳板”。 IT之家附病毒特征如下: 文件名特征 本次发现的木马病毒新变种继续采用钓鱼欺诈手段,大量采用人事业务相关的诱导性文件名, 文件名以“XX 季度违纪名单”“通报人员信息”“裁员名单”“补偿方案”等为主 ,并将图标伪装成文件夹、快捷方式、回收站等,并添加“pdf”后缀迷惑用户。 文件操作特征 木马病毒运行后,会在“C:\Program Files\Internet Explorer\”文件夹下投放下一步所需的载荷文件。其中关键文件 log.dll 为下一步运行的加载器,该 dll 文件通过白文件 installer.exe 进行加载。 网络通信特征 本次发现的病毒样本具有相似的网络通信特征,回联地址 URL 特征如下所示: http://[域名]:8880/ http://[域名]:8880/getinstall64 单位网络安全管理员可通过附录获取更多相关特征,并可通过国家计算机病毒协同分析平台( https://virus.cverc.org.cn )查询相关病毒样本的详细信息。 国家计算机病毒应急处理中心提醒:“银狐”系列木马病毒攻击活动与电信网络诈骗活动联系密切,长期将我国用户作为攻击目标,具有变种速度快、隐蔽性强等特点。本次发现的病毒木马攻击活动的攻击目标较为广泛,重点针对具有一定规模的组织机构工作人员,特别是人事相关业务工作人员,主要目的仍然是通过木马病毒控制大量受害者主机,窃取受害企业敏感数据和公民个人信息,进而实施勒索或欺诈。建议采取以下综合防范措施: 在使用即时通讯工具(如:微信、QQ、钉钉、飞书等)或电子邮件处理工作事务期间,警惕新增临时工作群组和电子邮件中传播的“违纪”“裁员”等相关主题文件,拒绝点击陌生人发送的文件,对本单位或外单位同事发送的相关文件应与其本人或正式渠道核实。 用户可将可疑的文档文件、可执行文件、压缩包文件或解压后的可疑文件先行上传至国家计算机病毒协同分析平台( https://virus.cverc.org.cn )进行安全检测,并保持防病毒软件实时监控功能开启,将计算机操作系统和防病毒软件更新到最新版本。 一旦发现本人即时通讯工具或电子邮件发生被盗用现象,应立即停止使用可能感染病毒的计算机设备,将其断开网络链接,并向单位网络管理员、相关同事和亲友告知相关情况,在备份重要数据的前提下,对相关计算机设备进行杀毒和安全检查,更换常用口令且应具有较高强度。