近期，银狐木马出现新变种，通过伪装成工作相关文件诱骗用户点击下载，实现远程控制。该木马利用.NET特性，通过PDF、Excel等文件中的图片、文字包藏钓鱼链接进行传播。一旦用户点击链接，就会调用浏览器触发下载行为。解压后的文件包含exe主程序和隐藏文件，利用.config配置文件加载ipc.dll动态链接库文件，实现恶意代码的执行。木马还会尝试提升至管理员权限，并利用注册表实现长期驻留，最终注入到perfmon.exe进程里，窃取用户微信聊天记录和企业财务数据等信息。360建议政企机构构建体系化、实战化、智能化的数字安全防御体系，并推出了基于安全大模型赋能的银狐病毒防护实战化解决方案。

🎣银狐木马通过伪装成发票或财税文件等工作相关文件，诱骗用户点击下载执行，从而实现对目标用户计算机的远程控制。

🛡️该木马利用.NET特性，通过PDF、Excel等文件中的图片、文字包藏钓鱼链接进行传播，用户点击后会下载伪装的压缩包，其中包含exe主程序和隐藏文件，利用.config配置文件加载恶意代码。

🔑木马会窃取用户的微信密钥与聊天记录文件来获取用户全部的聊天记录，搜索并窃取设备中疑似是企业财税文件、企业工资单等企业财务相关数据。

🚀360推出基于安全大模型赋能的银狐病毒防护实战化解决方案，由360企业安全浏览器、360终端安全管理系统、360安全云组成，提供有效预警、全面防护、持续监测、智能处置的数字安全能力体系。

2025-03-13 18:26 北京

财务人员注意！银狐木马惊现新变种，查杀难度再升级

近年来，银狐木马凭借攻击方式、攻击组件部署方式、恶意样本投递方式的连续迭代，变种频出，成为国内最为流行的“远控与电诈”类木马。该木马主要针对大多企事业单位管理、财务、销售相关岗位人员或电商卖家等目标群体，通过伪装成与工作相关的文件（如发票或财税文件等）诱骗点击下载和执行，从而实现对目标用户计算机的远程控制。

就在近期，360数字安全集团再次监测到一个银狐木马团伙更新了传播手段，通过使用.NET特性发起攻击，对广大政企机构造成严重威胁。

360安全大模型在针对此类攻击事件的分析研判中发现，由于通过各种途径直接传递钓鱼链接极易被安全产品事先防御拦截，该木马选择通过利用PDF、Excel等文件中图片、文字来包藏钓鱼链接的方式进行传播。用户一旦被误导后点击链接，就会直接调用浏览器触发下载行为。常见的攻击案例中，下载到的文件往往是一个经过伪装的压缩包，并且通常会使用“解压文件后阅览.zip”、“查询明细.zip”等一类具有迷惑性的名称。

360安全大模型对样本进行解压后发现，文件中除了exe主程序外，还包含了一系列设置为隐藏属性的文件组合。.NET应用程序在默认运行状况下，会自动读取其中一个与exe主程序同名且带有.config扩展名的配置文件。该配置文件采用XML格式，用于存储应用程序的运行参数，以便在不修改代码的情况下调整应用程序的行为。

本次银狐木马变种正是利用了这一特性，添加了一条MyAppDomainManager（使用自定义 AppDomain 管理器）的记录来指向ipc.dll这个动态链接库文件。在进行了这种配置后，主程序便会在初始化时自动加载文件中指定的ipc.dll文件，并执行其InitializeNewDomain(AppDomainSetup)完成初始化。下面是两个劫持DLL的代码对比，可以看到其劫持的结构均相同。如果发现当前程序并非以管理员权限执行，便会尝试提升至管理员权限再次启动，成功后再执行后续的恶意代码。

完成上述初始化操作后，便进入了核心的病毒执行代码。解密病毒主体部分size.pe并执行病毒主体功能。当前分析的案例样本会利用注册表中的“UserInitMprLogonScript”实现长期驻留，该注册表位置会在用户成功登录系统时自动运行木马主程序。病毒完成引导后，会启动perfmon.exe进程，然后注入到perfmon.exe进程里。

最终的恶意载荷是一款功能强大的远控木马，其具备记录键盘输入、打开/关闭屏幕、在浏览器中搜索和删除用户数据、执行文件操作等常规木马所具有的功能。不仅如此，当前的银狐木马还会在受害者的电脑中下载IP-guard等其他工具来保护其木马主体不被查杀。

实现长期驻留后，攻击者将监控用户的一举一动，包括通过窃取用户的微信密钥与聊天记录文件来获取用户全部的聊天记录，搜索并窃取设备中疑似是企业财税文件、企业工资单等企业财务相关数据等，这些信息最终都将被售卖给诈骗团伙。

利用这一机制，该木马团伙可以使用任意.NET程序作为木马的“主程序”，加载其病毒代码执行，从而实现与免杀相同的效果。

针对近期再次活跃的银狐木马攻击，360建议广大政企机构应尽快构建更加体系化、实战化、智能化的数字安全防御体系。

基于多年攻防实战经验和能力，360推出基于安全大模型赋能的银狐病毒防护实战化解决方案，将云化数据、探针、专家、平台和大模型能力开放给广大客户，构建了有效预警、全面防护、持续监测、智能处置的数字安全能力体系，实现了对入侵病毒的安全检测、安全分析、安全响应处置效率飙升。

这套方案主要是由360企业安全浏览器、360终端安全管理系统、360安全云组成：

360企业安全浏览器

基于180亿+恶意网址数据库，每日拦截超过7.5亿个恶意网址。360企业安全浏览器基于安全大模型的深度赋能，可实时通过云端不断更新的恶意网站数据库中查询，自动化判定登录网站是否为钓鱼网站、黑网址等威胁站点，对于银狐等持续变种性木马，及时警告用户访问的目标网站可能存在威胁，避免钓鱼、诈骗、财产损失等安全风险。

360终端安全管理系统

四大立体引擎协作，再高级的变种也难逃法眼。360终端安全管理系统，针对银狐木马等提供先进的防病毒功能，通过云查杀引擎、鲲鹏引擎、QVM人工智能引擎、QEX脚本检测引擎构建的多维智能检测体系，并配合主动防御，支持对蠕虫病毒、恶意软件、APT、广告软件、勒索软件、引导区病毒的检测查杀。

四大引擎实现后端病毒特征自动分析提取、抽取出病毒与恶意代码共性特征，建立恶意代码不同族系模型，同时，可将变种繁多的宏病毒置入模拟器执行，通过既定输出参数精确判断宏病毒后执行精确查杀。

360安全云

终端安全专家托管服务，大模型赋能云化专家7*24全天候守护终端安全。依托超过3000名云化安全专家，提供7×24小时全天候监测、响应和处置服务，每天执行超过560亿+次的云端查杀操作，平均每秒查杀64.8+万次，每日拦截勒索攻击100万+次、挖矿攻击1000万+次、网络电信诈骗6000万+次，为客户终端设备提供有效的安全托管服务，助力客户能够快速发现异常，自动化响应处置。在帮助企业节省人力、资金的前提下，进一步提高安全水平，为银狐病毒防护建立安全屏障。

目前，360基于安全大模型赋能的银狐病毒防护实战化解决方案已经实现对该类木马病毒的全面查杀，建议广大政企机构尽快部署。

想要了解更多详情

欢迎拨打咨询电话

400-0309-360

往期推荐

01 ● 周鸿祎：360安全大模型将向“一带一路”友邻国家开放共享 ► 点击阅读

02 ● 满血守护DeepSeek，360率先推出DS大模型安全方案 ► 点击阅读

03 ● 从《哪吒2》解码数字安全新范式：安全大模型重构防御体系 ► 点击阅读

04 ● 独家|360发布全球高级威胁研究报告：我国14大重点行业面临境外APT威胁 ► 点击阅读

阅读原文

跳转微信打开