近期，“銀狐”病毒再次引發廣泛關注，公安部網安局發布緊急提醒。

“銀狐”是一種典型的遠程控制木馬病毒，其攻擊手法極具迷惑性。它常偽裝成“財稅報表”“違規通報”“人員名單”“放假通知”等看似正常的文件，通過微信群、郵件等渠道，以加密壓縮包形式直接投遞給用戶。一旦用戶不慎解壓并運行其中的惡意程序，攻擊者便能瞬間接管用戶電腦，實施遠程操控、竊取敏感信息，甚至以此作為跳板發起更深入的二次攻擊。

其次，“銀狐”病毒隱蔽性極高。公安部網安局特別指出，它會創建隨機系統服務項，藏匿于系統深處，并利用常用的運維工具，實現長期潛伏，以致常規的安全檢測手段往往難以將其識別。

然而，近日，在這場沒有硝煙的戰爭中，聯軟科技憑借領先的技術實力和專業的安全服務團隊，成功地斬斷了“銀狐”病毒的攻擊鏈，守護了網絡安全的防線。

實戰狙擊：聯軟EDR精準檢出并處置銀狐病毒

2025年6月10日，在某大型金融機構護網值守現場，聯軟UniEDR系統發出告警信號，捕捉到異常跡象。6月12日，技術人員在客戶電腦中成功確定了“銀狐”病毒樣本，并迅速啟動應急處置流程，及時阻止了病毒的進一步破壞。事后，聯軟科技對此次攻擊路徑進行了深度還原，為后續的網絡安全防護工作提供了寶貴經驗。

攻擊路徑深度還原如下：

該樣本運行后從https://panshi-1325772578.cos.ap-hongkong.myqcloud.com/caosixn2/all.zip下載壓縮包到本地。

壓縮包內的Qtpasso.exe被運行,其會加載惡意DLL，注入explorer.exe，與C2交互，遠程地址為：154.94.232.120，并通過explorer修改自啟動項完成持久化。

同時在C:\Users\virus\AppData\Roaming目錄下釋放文件夾Nxonq1284_QUC，此文件夾內包含白加黑文件。

如果啟動Nxonq1284_QUC文件夾內的DUbit.exe，其會注入winlogon.exe進程實現與C2交互，C2地址為：154.94.232.120。 

事后，聯軟UniEDR對樣本環境（192.168.111.129），進行如下分析：

?1.樣本Qtpasso.exe執行后釋放以下文件，在ProgramData目錄下創建Venlnk目錄，在Venlnk目錄下創建GoogleService.lnk，其中GoogleServer.lnk用于后續持久化。

?2.Qtpasso.exe對explorer(pid=5888)進行注入。 

?3.被注入惡意payload的explorer修改注冊表，將先前創建的Venlnk目錄添加入自啟動項。 

?4.被注入惡意payload的explorer(pid=5888)對explorer(pid=9760)進行跨進程保護屬性修改。 

?5.隨后explorer(pid=5888)對explorer(pid=9760)進行注入。 

?6.explorer(pid=9760)執行動態生成的代碼。 

?7.explorer(pid=9760)反射加載網絡模塊。 

?8.explorer(pid=9760)與IP 154.94.232.120產生通信，心跳周期2分鐘。 

?9.樣本在特定目錄釋放以下文件，用于權限持久化。 

?10.DUbit.exe啟動后，會對winlogon進行注入。

?11.隨后winlogon執行動態生成的代碼。 

?12.winlogon反射加載網絡模塊。

?13.winlogon同樣與IP 154.94.232.120通信，心跳周期2分鐘。

此次，聯軟科技憑借硬核的技術實力和專業的安全服務團隊，斬斷了“銀狐”病毒攻擊鏈，保障了金融機構的網絡安全，充分展示了聯軟EDR系統的強大檢測與處置能力，也為其他企業和機構應對類似網絡安全威脅提供了有力借鑒。

對于企業來說，一旦發現銀狐病毒，可立即采取以下行動：

1.先斷網，迅速隔離對應中招終端。

2.重裝操作系統，清除病毒任務及文件。

3.重裝系統后優先安裝聯軟客戶端。

4.下發聯軟EDR的專家規則，對惡意程序的運行執行阻止。

進階優化：

1.部署聯軟標準軟件商城功能，回收軟件安裝權限。

2.部署聯軟網絡黑名單功能，禁止終端訪問黑名單地址。

聯軟UniEDR核心能力

全息采集：性能占用低、數據采集全面，支持22+大類、336+小類的數據采集 

智能狩獵：ATT&CK映射+行為基線分析，可檢測378+攻擊技術點（144+技術，234+子技術） 

勒索阻斷：加密行為實時阻斷+自動文件備份，勒索攻擊攔截率100%（賽可達檢測報告）

溯源核驗：進程事件樹+攻擊鏈可視化，威脅定位時效<3分鐘

生態聯防：聯動NAC/Access/EPP深度處置，全網響應速度↑90%

聯軟UniEDR應用場景

應對攻防演練，快速揪出黑客動作

快速發現內網黑客常用攻擊行為，如：嘗試破解密碼、提權、竊取賬號密碼、偷偷潛伏攻擊核心服務器（域控攻擊）、利用軟件漏洞、遠程爆破服務等。 一旦發現有電腦被攻陷（失陷終端），瞬間隔離，防止感染擴散，并立刻上報，實現全網快速響應。

精準查殺病毒，揪出潛伏的高級間諜（APT）

實時查殺常見已知病毒木馬。通過行為快速發現勒索加密，保護重要數據。從終端上抓取APT攻擊的多種行為數據，識別高級間諜攻擊的特征；依托威脅情報能力，主動將APT組織的攻擊線索、攻擊手法、攻擊技巧等轉為檢測腳本，實現反客為主式的檢測與溯源。

快速追查安全事件源頭，定位影響范圍

快速通過終端行為定位到威脅的進程源頭，進而通過終端間的網絡訪問關系確定關聯影響，判斷安全事件可能波及的范圍。安全管理者可據此下發響應策略，進行隔離或修復。

與其他安全產品聯手，構建更強防線

收集終端行為數據供給中央安全分析平臺（綜合威脅檢測平臺），協同不同的安全設備工作，發揮1+1>2的效果。