【安全资讯】彻底查杀顽固“银狐”木马

银狐木马为患已久

       自去年开始，银狐木马活跃度不断提高，360安全大脑也发布了多次银狐攻击的预警。至今年下半年，银狐已成为国内最为流行的“远控与电诈”类木马。

       该木马常利用微信、钓鱼网页等方式以虚假的“发票”、“财税”、“人员名单”等相关信息为幌子进行传播。而这些文件无论是标题还是其伪造的内容都极具欺骗性，因此也导致不少用户中招。

       例如下面这个钓鱼网页便是伪装成税务稽查通知，诱骗用户下载其附件并运行。该钓鱼网页具有很大的迷惑性，用户稍不留神便会中招。

360社区

图1. 银狐木马典型钓鱼页面

       而银狐木马一旦完成对受害者设备的感染便会开启免杀对抗机制，为了能长期控制用户电脑开始打起了正规软件的主意。通常的病毒木马，即使能够成功对安全软件实现免杀，也很快会被安全公司监测到，进而在安全软件更新升级后查杀。而银狐木马则利用了一些正规的企业管理软件来实现在系统中的长期驻留，比如：ip-guard、固信终端安全、阳途终端安全等。

       这类软件本身是用于企业IT管理使用的，能够通过软件的管控平台对终端设备进行集中管理和运行监控。木马利用管控软件的这一特性，静默或诱骗用户安装其客户端，并在后台对用户实施监控和远程控制。

       同样也因为这些软件本身是正规企业出品的软件产品，往往会被安全软件列入信任名单，从而不会被拦截和查杀。此外，此类软件也具备“自我保护”能力来防止被停用或卸载，所以一般用户即使发现异常也难以清除。最终，受害用户便会在不知不觉的情况下被黑客长期控制。黑客以受害用户的设备作为跳板，进一步扩散病毒木马，甚至发起新一轮的诈骗。我们也收到了一些用户反馈称电脑经常被黑客控制，而安全软件却无法查杀。

打响银狐歼灭战


       360安全大脑最新推出了对此类常被银狐木马利用的“管理软件”的监测功能。一旦发现异常安装，便可自动对相应软件进行“灭活”及卸载操作。此功能可让受攻击设备迅速脱离黑客控制，彻底解决用户被长期控制而无法查杀的问题。因不慎感染了银狐木马而被黑客控制的机器，可以尝试使用最新版的360安全卫士进行查杀。

360社区

图2. 360安全卫士卸载被银狐木马利用的管控软件

       下面我们以一个近期收到的受害者反馈情况为例，简单展示一下ip_guard远控软件是如何被安装到用户机器上的。

       首先银狐木马会通过微信钓鱼攻击该用户，诱骗用户点击该远控木马。

360社区

图3. 受害用户被诱骗后运行远控木马

       该木马会多次尝试退出360主防，然后释放ip_guard管控客户端的静默安装包。在完成ip_guard的安装工作后，黑客就可以远程控制受害用户机器，甚至对其进行进一步的诈骗操作。

360社区

图4. 远控木马长期驻留系统并伺机进一步发难

安全建议

• 安装并确保开启安全软件，保证其对本机的安全防护；
• 对于安全软件报毒的程序，不要轻易添加信任或退出安全软件；
• 下载软件安装包时要注意下载地址是否正常；
• 不要轻易下载并运行未知程序；
• 尤其对财税人员的信息安全培训提起重视，加强财税人员的信息安全意识和识别能力；
• 对于发现微信被异常控制，出现自动建群发送消息等问题的，尽快安装360终端安全产品，进行扫描查杀。
  

中了病毒用安全卫士还没有解决的，加下我的微信jwwdzrhb

不错的功能

我用360安全卫士全面查杀重启后还有病毒，如何破

我已经被折腾好几天了，全盘查杀，开启远控.勒索急救都没有用啊！！！

你好，前一段时间刚好点了这个链接，已经查杀好多次了，还是会出现控制界面点开微信发信息的情况，请问这个怎么解决呀，感觉它们转对财务行业的人下手，不太会操作这个，该怎么办呢

360查杀到底杀不杀的掉啊，我也是昨天不小心点了，现在很不安啊

我已经有三次电脑被控制，然后微信群发带木马的链接和文件出去，真的很害怕会连累到别人也中毒。但是发在群里的立马又给我退群了，真的不知道怎么办，每天用360杀毒，但是不知道目前杀完没有。

银狐跟熊猫哪个厉害？

秒杀银狐！解决不了的可以找我

被远程控制乱发信息了，不知道该如何解决，请楼主联系我谢谢！我的电脑被控制乱发信息，请帮帮我我的微信VIP316496393

我单位中过，今年4月份的时候，财务点开了一个伪造税务局发来的邮件，点开之后被静默安装后门，然后被远控。电脑部署了360企业安全云，一样中招，查杀什么都没有，最后直接重做系统了

改，杀毒扫描可以扫出来吗？【安全资讯】彻底查杀顽固“银狐”木马 [修改]

我的两台电脑，通知区域没有网络图标了！查杀没有发现感染，是9月6日开始的，通知区域网络项是灰色的

我的两台电脑，通知区域没有网络图标了！查杀没有发现感染，是9月6日开始的，通知区域网络项是灰色的

我的两台电脑，通知区域没有网络图标了！查杀没有发现感染，是9月6日开始的，通知区域网络项是灰色的，资源监视器打不开

360社区

360社区

以下方式均无法修复
Win7右下角网络图标不见了,网络图标的消失可能会导致用户无法方便地切换和管理网络连接。
以下是详细的解决步骤：  
1.检查系统设置：按下WinR键，打开运行对话框，输入gpedit.msc并按回车键，进入本地组策略编辑器。在左侧导航栏中依次找到“用户配置”、“管理模板”、“开始菜单和任务栏”，然后在右侧窗口中找到“隐藏指示图标”这个选项，并双击打开。在弹出的窗口中选择“已禁用”或“未配置”，然后点击确定，重启电脑。
2.重启资源管理器：右键点击桌面下的任务栏空白处打开菜单，选择“启动任务管理器”。在“进程”选项卡中找到“explorer.exe”进程，选中后点击下方的“结束进程”按钮。弹出是否要结束提示后再次点击“结束进程”，之后桌面图标和任务栏会消失。在任务管理器中点击“文件–新建任务”，在创建新任务窗口中输入“explorer”，点击确定。
3.重新安装驱动程序：按下WinR键，打开运行对话框，输入devmgmt.msc并按回车键，进入设备管理器。在设备管理器中找到“网络适配器”，展开并右键单击你的网络适配器，选择“卸载设备”。然后重启电脑，系统会自动重新安装网络适配器的驱动程序2。 重置网络设置：按下WinR键，打开运行对话框，输入“cmd”并按回车键，以管理员身份运行命令提示符。在命令提示符窗口中依次输入以下命令并按回车键执行：ipconfig /flushdns、ipconfig /release、ipconfig /renew、netsh winsock reset、netsh int ip reset。执行完毕后，重启电脑，再次检查上网图标是否显示。
4.修复系统文件：如果以上方法都没有解决问题，可能是系统文件损坏导致的。可以使用系统还原或者系统修复盘来修复系统文件。 使用安全软件修复：还可以尝试使用安全软件来修复这个问题。大部分的安全优化软件都有修复这个问题的功能，例如360安全卫士。

HEUR/QVM41.2.E8B9.Malware.Gen
新静默客户端，
是叫这个东西吗？

为何360卫士查杀不了呢？

                               好

360卫士正常使用  谢谢专家