【安全资讯】彻底查杀顽固“银狐”木马

银狐木马为患已久

       自去年开始，银狐木马活跃度不断提高，360安全大脑也发布了多次银狐攻击的预警。至今年下半年，银狐已成为国内最为流行的“远控与电诈”类木马。

       该木马常利用微信、钓鱼网页等方式以虚假的“发票”、“财税”、“人员名单”等相关信息为幌子进行传播。而这些文件无论是标题还是其伪造的内容都极具欺骗性，因此也导致不少用户中招。

       例如下面这个钓鱼网页便是伪装成税务稽查通知，诱骗用户下载其附件并运行。该钓鱼网页具有很大的迷惑性，用户稍不留神便会中招。

图1. 银狐木马典型钓鱼页面

       而银狐木马一旦完成对受害者设备的感染便会开启免杀对抗机制，为了能长期控制用户电脑开始打起了正规软件的主意。通常的病毒木马，即使能够成功对安全软件实现免杀，也很快会被安全公司监测到，进而在安全软件更新升级后查杀。而银狐木马则利用了一些正规的企业管理软件来实现在系统中的长期驻留，比如：ip-guard、固信终端安全、阳途终端安全等。

       这类软件本身是用于企业IT管理使用的，能够通过软件的管控平台对终端设备进行集中管理和运行监控。木马利用管控软件的这一特性，静默或诱骗用户安装其客户端，并在后台对用户实施监控和远程控制。

       同样也因为这些软件本身是正规企业出品的软件产品，往往会被安全软件列入信任名单，从而不会被拦截和查杀。此外，此类软件也具备“自我保护”能力来防止被停用或卸载，所以一般用户即使发现异常也难以清除。最终，受害用户便会在不知不觉的情况下被黑客长期控制。黑客以受害用户的设备作为跳板，进一步扩散病毒木马，甚至发起新一轮的诈骗。我们也收到了一些用户反馈称电脑经常被黑客控制，而安全软件却无法查杀。

打响银狐歼灭战


       360安全大脑最新推出了对此类常被银狐木马利用的“管理软件”的监测功能。一旦发现异常安装，便可自动对相应软件进行“灭活”及卸载操作。此功能可让受攻击设备迅速脱离黑客控制，彻底解决用户被长期控制而无法查杀的问题。因不慎感染了银狐木马而被黑客控制的机器，可以尝试使用最新版的360安全卫士进行查杀。

图2. 360安全卫士卸载被银狐木马利用的管控软件

       下面我们以一个近期收到的受害者反馈情况为例，简单展示一下ip_guard远控软件是如何被安装到用户机器上的。

       首先银狐木马会通过微信钓鱼攻击该用户，诱骗用户点击该远控木马。

图3. 受害用户被诱骗后运行远控木马

       该木马会多次尝试退出360主防，然后释放ip_guard管控客户端的静默安装包。在完成ip_guard的安装工作后，黑客就可以远程控制受害用户机器，甚至对其进行进一步的诈骗操作。

图4. 远控木马长期驻留系统并伺机进一步发难

安全建议

• 安装并确保开启安全软件，保证其对本机的安全防护；
• 对于安全软件报毒的程序，不要轻易添加信任或退出安全软件；
• 下载软件安装包时要注意下载地址是否正常；
• 不要轻易下载并运行未知程序；
• 尤其对财税人员的信息安全培训提起重视，加强财税人员的信息安全意识和识别能力；
• 对于发现微信被异常控制，出现自动建群发送消息等问题的，尽快安装360终端安全产品，进行扫描查杀。