文章总结： 火绒安全团队披露伪装为Telegram汉化包的银狐木马。该样本滥用AdvancedInstaller释放恶意脚本，利用APC注入技术注入WmiPrvSE.exe进程并绕过UAC，最终植入Winos远控窃取数据。火绒产品已支持查杀，建议用户切勿运行来源不明的安装包。 综合评分： 88 文章分类： 恶意软件,漏洞分析,逆向分析,威胁情报

然后创建多个线程从C2下载下阶段载荷注入不同进程。

远控阶段

6.bin/64.bin为典型的Winos远控的上线模块，入口点会调用自定义异常处理、设置隐藏窗口、解析配置，然后进入主流程。

银狐的配置信息通过字符串翻转硬编码在样本中，在执行时存入结构体。GetFindinfo 函数通过扫描 p1: (IP1)、o1: (Port1)、kl: (傀儡进程开关) 等标签，将硬编码的配置填充到 MyInfo 结构体中。

随后将配置写入注册表HKEY_CURRENT_USER\Console\IpDate。攻击者可以通过修改注册表，动态更新木马连接的服务器。

连接上攻击者C2服务器后，木马会将后续模块写入注册表HKEY_CURRENT_USER\Console\0 (32位)或\1 (64位)，键名为MD5值，内容为二进制文件。这样后续木马重启无需重新下载模块。

根据配置信息中的kl标记，决定后续模块的启动方法：

（1）内存直接加载执行。

（2）启动傀儡进程tracerpt.exe，劫持线程执行。

对此类银狐木马可快速提取出配置信息，脚本详见附录。

02

火绒安全建议

建议广大用户保持警惕——

• 切勿下载、运行来源不明的软件安装包，避免误入钓鱼陷阱；
• 安装并开启火绒安全软件，确保文件实时监控、恶意行为监控、内存防护等功能处于开启状态；
• 定期使用火绒安全软件对系统进行全面扫描，及时排查潜在风险，为您的数字生活保驾护航。

03

附录

• C&C –

• HASH –

银狐配置提取脚本：

HUORONG

火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等相关自主研发技术。多年来，火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节，拓展了企业对于终端管理的范围和方式，提升了产品的兼容性、易用性，最终实现更直观的将威胁可视化、让管理轻便化，充分达到保护企业信息安全的目的。

求点赞

求分享

求喜欢

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：火绒安全 火绒安全 火绒安全《伪装Telegram汉化包 银狐钓鱼木马的隐蔽传播术》