銀狐（又名：“游蛇”“谷墮大盜”等）是一款專門針對企事業(yè)單位管理、財務(wù)等從業(yè)人員進行攻擊的木馬病毒變種之一 ，通過微信、QQ、郵件以及偽造工具網(wǎng)站等渠道進行釣魚攻擊，主要面向政府、高校及企事業(yè)單位等關(guān)鍵行業(yè) ，攻擊目標集中在財務(wù)和會計領(lǐng)域的專業(yè)人員 ，多采用進程注入、無文件攻擊及簽名偽造等多種技術(shù)繞過安全防護，遠程控制受害者的計算機，竊取用戶的敏感數(shù)據(jù)和財產(chǎn)信息，具有高度隱蔽性，對中國企事業(yè)單位和個人的信息安全構(gòu)成嚴重威脅。

病毒文件截圖如下所示：

釣魚信息截圖如下所示：

1. 用戶于2025年3月24號17點37分左右解壓打開了惡意exe程序，該病毒程序經(jīng)過免殺處理，點擊無任何反應(yīng)。

2.用戶于2025年3月24號17點37分左右解壓打開惡意exe程序，通過查看深信服AES殺毒記錄，創(chuàng)建銀狐遠控文件（libsmi.bin、libsmi.dll、smigpu.exe）時間為3月24日17點38分04秒，并且創(chuàng)建權(quán)限維護計劃任務(wù)【.NET Framework NGEN v4.0.30318】文件及維護計劃。

3.查看.NET Framework NGEN v4.0.30318計劃任務(wù)文件，該計劃任務(wù)程序通過定時調(diào)用釋放的病毒文件進行遠控操作。后續(xù)被攻擊者使用IP-Guard(安全運維管理工具)進行維權(quán)。

4.通過對歷史操作記錄的排查發(fā)現(xiàn)，惡意攻擊者創(chuàng)建的釣魚圖片信息如下所示：

5.確定所有惡意文件已被刪除后，使用銀狐專殺工具對終端運行進程和文件進行查殺，清除終端遺留惡意程序及計劃任務(wù)程序及計劃任務(wù)程序文件，根據(jù)查殺結(jié)果確定終端中存在IP-Guard遠控軟件（該遠控軟件常被用于銀狐權(quán)限維持和內(nèi)網(wǎng)橫向）。

6.使用專殺工具清除病毒后，再次通過查殺工具進行二次掃描，此時已沒有銀狐病毒程序，并使用IP-Guard卸載工具進行卸載，卸載工具如下圖所示：

7.因電腦重啟過，并未發(fā)現(xiàn)可疑的進程和網(wǎng)絡(luò)連接信息，排查深信服態(tài)勢感知發(fā)現(xiàn)回連惡意IP地址： 16.162.51.162

8.經(jīng)微步情報查詢，確定為銀狐病毒回連服務(wù)器惡意IP地址。

9.相關(guān)惡意文件MD5值如下所示：

至此，我公司完成此次安全事件的應(yīng)急處理，因未得到病毒母體文件，無法對病毒進行進一步分析。為杜絕此類事件的再次發(fā)生，深信服MSS云端平臺已經(jīng)做了專門的銀狐告警生成策略，如有感染將觸發(fā)策略，可及時通知我公司進行現(xiàn)場應(yīng)急處理，根據(jù)我公司所得到的銀狐病毒惡意IP和惡意域名情報，建議將以下IP、域名進行封禁處理:

1. 立即對所有失陷主機進行網(wǎng)絡(luò)隔離并使用銀狐專殺工具查殺后，若單位并未使用IP-Guard遠控工具，可使用IP-Guard卸載工具進行軟件卸載。
   

2. 檢查失陷主機計劃任務(wù)，刪除惡意攻擊者遺留的殘留文件。
   

3. 防止員工電腦關(guān)機造成查殺不及時，若單位購買了網(wǎng)絡(luò)版殺毒軟件，建議調(diào)整殺毒軟件查殺時間點為每天上班時間段進行分批分時段查殺。
   

4. 建議立即更新病毒庫，對所有終端全盤殺毒任務(wù)，對惡意文件進行刪除隔離，并通過強力專殺工具進行查殺。
   

5. 通過防火墻將惡意IP地址、惡意域名加入到黑名單中。
   

6. 必要時可針對失陷主機全盤格式化并重裝系統(tǒng)。