警惕!微信群中的新型“银狐”病毒来袭
近期,火绒威胁情报系统再次揭示了一种新型后门病毒,它披着“企业补贴政策名单.msi”、“12月稽查税务.msi”等诱人的伪装,活跃于微信群聊中,对用户终端安全构成了严峻挑战。一旦用户不慎下载并运行,病毒将迅速激活,释放恶意文件,植入计划任务,实现远程操控,威胁用户隐私和数据安全。
深入解析:银狐木马的新变种
火绒曾揭露“银狐”木马的变种趋势日益明显,它采取了更多策略来规避安全软件的检测。火绒工程师强烈建议用户时刻警惕群聊中的未知文件,尤其是.msi、.rar、.exe、.chm、.bat和.vbs等后缀,务必在安全软件扫描确认后再执行。火绒安全产品已能有效拦截和查杀此类病毒,用户需及时更新病毒库以构建更强的防护屏障。
深入分析:病毒样本行动路径
以“企业补贴政策名单.msi”为例,病毒安装过程中,CNM.exe和erp.exe是主要执行者,它们在C:\Windows\HAHA目录下释放多文件,其中CNM.exe拆分为16进制文本以逃避检测。接下来,"opl.txt"的加密代码文件被加载,用于计划任务,触发erp.exe的进一步行动。
erp.exe作为关键通信文件,通过libcurl.dll加载器与C2服务器连接,下载shellcode加载器,实现第二阶段操作。在代码层面,样本运用了动态生成、多重混淆等复杂策略,以绕过反病毒软件的防线。
病毒在注册表中设置了“Rslmxp nnjkwaum”服务和“ConnentGroup”键,用于管理和维护C2连接信息。样本使用硬编码的方式确定C2 IP,并创建互斥体,确保连接的唯一性。
最后,样本启动单独线程进行通信管理,C2服务器的命令将通过插件形式下发,实现远程控制和配置更新。
追踪历史:银狐攻击的演变
从erp.exe的主体文件来看,早在3月份,这一变种就被技术论坛发现并上报。后续的样本版本,都是对原始“银狐”攻击技术的不断升级。伪造的数字签名和文件信息与“银狐”攻击手法相吻合,结合其针对财务人员的攻击目标,再次证实了这是一次“银狐”组织的行动。
防范建议
面对这种新型威胁,保持警惕至关重要。务必谨慎对待不明来源的文件,养成安全下载和扫描习惯。同时,持续更新安全软件,以确保能及时识别并拦截这类高级病毒。让我们共同努力,保护自己和他人的数字世界免受此类恶意软件的侵扰。