文章总结： 文档分析了一款伪装成‘2025年度各单位内制人员违纪名单’压缩包的银狐木马攻击事件。该木马通过精准的社会工程学命名诱导用户运行，释放多个恶意组件并创建计划任务实现持久化，随后进行环境探测、反沙箱检测，最终连接远程C2服务器（43.198.121.244:5676）实现远程控制。文档揭示了银狐木马利用白加黑、进程注入、反射加载等隐蔽技术，并针对企业员工和公职人员实施精准攻击的完整链条，最后给出了临时处置与安全防护建议。 综合评分： 85 文章分类： 恶意软件,威胁情报,应急响应,安全意识,终端安全

“违纪名单” 竟是银狐木马陷阱，攻击路径全解析

原创

丁永博 丁永博

丁永博的成长日记

2026年2月25日 10:44 山东

近日，永博捕获一款伪装成 “2025 年度xx各单位内制人员违纪名单” 的恶意压缩包文件。经分析，该文件暗藏 SilverFox（银狐）木马，可能导致用户主机被控制、信息泄露等严重后果。今天我们就来全程拆解这起木马攻击事件，带你看清其背后的黑色产业链。

一、恶意样本伪装：精准拿捏职场心理

该恶意文件以 “2025 年度xx各单位内制人员违纪名单.exe.zip” 为名，采用 AES 加密的 ZIP 压缩格式，文件大小为 984.85KB，SHA256 值为 c5744d2c8697a5c8f0f17027b7be393157c871498e03b1d266598778692239d5。

从命名策略来看，攻击者精准利用了公职人员对单位内部通报、违纪名单等敏感信息的好奇心和关注度，通过 “内部文件”“违纪名单” 等关键词降低用户警惕性，诱导其下载并解压运行。这种伪装方式针对性极强，极易实现快速传播。

二、完整攻击路径：从诱导运行到远程控制

该银狐木马的攻击流程环环相扣，从文件运行到实现完全控制共分为四个关键阶段：

（一）初始执行：释放核心恶意组件

#

当用户双击解压后的 “2025 年度xx各单位内制人员违纪名单.exe” 文件（PID:6972）后，木马立即启动执行流程：

#

调用系统 cmd.exe 进程（PID:6292）执行命令，先延迟 2 秒后删除原始执行文件，试图销毁攻击痕迹；通过 svchost.exe 进程（多个 PID，如 1516、3572 等）在后台释放 4 个核心组件到指定系统目录：C:\Program Files\Internet Explorer\nvgpu_x64.exe（289.2KB，PE32 + 可执行文件）C:\Program Files\Internet Explorer\nvml.dll（788.05KB，DLL 劫持组件）C:\Program Files\Internet Explorer\nvml.bin（443.55KB，银狐木马核心载荷）C:\Windows\System32\Tasks...\Microsoft Compatibility Internet Explorer（3.18KB，XML 格式计划任务文件）

#

这些组件分工明确，exe 文件负责执行核心逻辑，dll 文件用于进程注入，bin 文件存储恶意代码，计划任务则保障木马持久化运行。

（二）持久化驻留：规避重启清除

#

为了避免被用户重启电脑后清除，木马通过创建计划任务 “Microsoft Compatibility Internet Explorer” 实现持久化：

#

• 该计划任务被添加到系统任务调度器中，设置为定时启动，确保即使电脑重启，木马也能自动运行；
• 同时利用系统合法进程 svchost.exe（Windows 服务宿主进程）作为载体，通过进程注入技术隐藏自身进程，躲避常规安全软件检测。

（三）信息搜集与反检测：为攻击铺路

#

在建立驻留后，木马启动信息搜集和反检测流程，主要执行以下操作：

系统环境探测：查询计算机名、用户名、硬盘大小等信息，判断是否运行在虚拟机或沙箱环境中；反沙箱 / 反调试：使用 GetTickCount64 函数规避沙箱检测，检测内核调试器是否存在，防止被安全人员逆向分析；进程枚举：遍历系统正在运行的进程和线程，检查系统唯一标识符权限，寻找可利用的进程进行注入；读取软件策略：搜集系统安装的安全软件信息，为后续规避拦截做准备。

#

（四）远程连接：受控于黑产团伙

#

完成前期准备后，木马主动与远程控制服务器建立连接：

#

1. 通过解析域名vdcfdxstyy.cn，获取恶意 IP 地址43.198.121.244；
2. 利用 TCP 协议与该 IP 的 5676 端口建立通信，累计发送 14 次连接请求，传输数据量达 1.54MB；
3. 成功连接后，用户主机被纳入银狐黑产团伙的控制端，成为可被远程操控的 “肉鸡”。

此时，攻击者可远程执行任意操作：窃取用户聊天记录、办公文档、账号密码等敏感信息；操控主机自动加入各类群组，冒充受害者身份传播木马；甚至利用受感染主机发起进一步网络攻击。

三、木马核心特征：银狐黑产的典型作案手法

#

该样本属于 SilverFox（银狐）木马家族，符合其黑产团伙的典型作案特征：

2. 攻击载体专业化：以 “内部文件”“财务发票”“案件纠纷” 等为主题伪装，利用微信、邮件、伪造网站等渠道投递；
3. 技术手段隐蔽化：采用 AES 加密压缩、进程注入、DLL 反射加载、计划任务持久化等技术，规避安全软件检测；
4. 攻击目标精准化：专门瞄准企业员工、公职人员等群体，意图窃取职场敏感信息或利用受害者身份进行二次传播；
5. 产业链协同化：通过固定的域名（vdcfdxstyy.cn）和 IP（43.198.121.244）建立控制网络，形成规模化攻击能力。

四、临时处置建议

#

杀死进程•cmd.exe删除 task 文件•C:\Windows\System32\Tasks\Microsoft\Windows\Diagnosis\Microsoft Compatibility Internet Explorer•C:\Windows\System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask删除文件•C:\Program Files\Internet Explorer\nvgpu_x64.exe•C:\Program Files\Internet Explorer\nvml.dll

#

五、安全防护建议：守住三道防线

#

一是加强安全意识。收到来源不明的文件或链接，一律通过官方渠道核实，严禁“先点再看”。

#

二是强化终端防护。安装主流杀毒软件并及时更新，启用实时防护与定期全盘扫描。

#

三是及时关闭终端。晚上关闭个人办公计算机，降低被夜间远程控制的风险。

六、总结

#

从 “财务发票” 到 “违纪名单”，银狐木马的伪装始终紧扣用户心理弱点，其背后折射的是网络黑产对攻击精准度、技术隐蔽性的不断升级。这类攻击早已超越单纯的个人信息窃取，而是通过 “一人感染、全网扩散” 的链式传播，威胁企业商业秘密、政务数据安全乃至关键信息基础设施稳定，成为数字化时代网络安全的重要隐患。

网络安全的攻防本质上是认知与技术的双重博弈。个人的警惕心、企业的防护体系、行业的协同联动，共同构成了抵御黑产攻击的 “防火墙”。面对日益复杂的网络威胁，我们既需提升对新型攻击手段的识别能力，更要树立 “安全无小事、防护在日常” 的底线思维。唯有将安全意识融入每一次文件传输、每一次程序运行，才能从源头遏制恶意木马的传播蔓延。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：丁永博的成长日记 丁永博 丁永博《“违纪名单” 竟是银狐木马陷阱，攻击路径全解析》