文章总结： 银狐病毒借伪装发票链接与压缩包传播，通过劫持TheWorld.exe加载shellcode实现远控与挖矿；排查发现其利用chrome_elf.dll、config.ini及注册表维持权限，处置需删文件、注册表项并强制结束进程。 综合评分： 82 文章分类： 应急响应,恶意软件,漏洞分析,WEB安全,终端安全

【应急响应基础】八、银狐病毒排查处置

原创

攻防灯塔安全智库

攻防灯塔安全智库

2026年1月5日 21:20 四川

【应急响应基础】七、勒索病毒排查

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不承担任何法律及连带责任。

[ 简介 ]

病毒排查

银狐病毒最早于2020年初以“游蛇”等别名出现，2022年底其核心远控木马源码泄露后，演变为多团伙甚至产业化的恶意家族。自2023年开始大规模传播，2024-2025年期间，银狐病毒借助AI技术，出现持续大规模变种攻击银狐病毒通过即时通讯工具（如微信、钉钉）发送伪装成“发票”、“财税”等文件的钓鱼链接，用户一旦点击就会感染病毒。此外，病毒还会利用压缩文件（如RAR、ZIP）进行传播，文件名与钓鱼信息高度一致，以逃避检测。 银狐病毒能够远程控制受害者的计算机，窃取敏感信息，甚至进行挖矿等恶意操作。攻击者通过监控受害者的日常操作，实施诈骗等行为，给受害者带来直接的经济损失。

| | | — | | 本期导读 银狐病毒排查处置 |

银狐病毒排查处置

混子Hacker

一、银狐病毒排查处置

1.1 排查分析

根使用systeminfo发现进程9044外联恶意IP 47.243.247.76

微步查询情报显示为远控

查询进程树信息发现其父进程是6000，并且还存在一个子进程8256

进程6000对应程序是资源管理器

通过分析查询发现进程9044是TheWorld.exe是国产浏览器“世界之窗”的主程序，常被木马利用作为合法载体进行 DLL 劫持或注入

使用Autoruns继续排查注册表、计划任务、服务等权限维持项，发现可疑的注册表项

找到对应路径发现文件被加了权限无法查看，使用attrib -s -h去掉对应的权限

查看下载目录发现可疑文件

同时在浏览器下载历史中发现文件下载记录

获取MD5进行分析发现该文件为木马

根据该文件的下载时间进行查询发现可疑目录

目录下的文件同样被加了权限，使用attrib去掉权限后查看

发现可疑config.ini文件文件较大同时打开为乱码

获取MD5查询发现是shellcode

同时对chrome_dlf.dll提取MD5时报毒

1.2 攻击溯源

整理：

1、用户通过浏览器下载恶意文件并运行2、运行之后通过劫持TheWorld.exe的chrome_elf.dll文件3、加载config.ini中的shellcode并运行进行外联4、创建注册表启动项进行权限维持

1.3 处置加固

1、删除注册表启动项

2、删除恶意dll文件和config.ini文件

3、结束程序TheWorld.exe及其子进程（注意这里程序被加了权限无法通过任务管理器结束，可以使用工具进行结束进程）

| | | — | | 本专栏往期文章： 【应急响应基础】一、系统查询-Windows基础排查 【应急响应基础】一、系统查询-Windows基础排查2 【应急响应基础】二、Windows病毒排查-手动排查 【应急响应基础】三、主机排查-Linux基础排查 【应急响应基础】四、Linux病毒排查 【应急响应基础】五、入侵排查-Windows入侵排查 【应急响应基础】六、应急工具使用 【应急响应基础】七、勒索病毒排查 |

<<<  END >>>

原创文章｜转载请附上原文出处链接

更多漏洞｜关注作者查看

作者｜混子Hacker

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：攻防灯塔安全智库 攻防灯塔安全智库《【应急响应基础】八、银狐病毒排查处置》