内容：

最近，火绒威胁情报系统监测到，又有后门病毒伪装成“企业补贴政策名单.msi”、“12月稽查税务.msi”等诱导性文件在微信群聊中相互传播。用户下载运行该文件后，病毒会被激活并释放多个恶意文件，添加计划任务，远程控制受害者的终端等，对用户构成较大的安全威胁。

经过火绒安全工程师确认，该后门病毒为“银狐”木马的新变种，具有更强的对抗性和隐蔽性。溯源排查发现，该类病毒近期伪装的相关文件名如下：

此前，火绒已披露“银狐”木马呈现变种增多趋势，且采取更多方式对抗安全软件的查杀。火绒工程师再次提醒大家时刻注意群聊中发送的陌生文件（后缀.msi/.rar/.exe/.chm/.bat/.vbs），如有必要先使用安全软件扫描后再使用。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。

一、样本分析

1. 第一阶段：

以 "企业补贴政策名单.msi" 为例，用户双击该 msi 文件进行安装后其会执行一系列相关进程，其中以 "CNM.exe" 和 "erp.exe" 为执行主体。病毒样本会释放多个文件在 "C:\Windows\HAHA" 目录下，其中 "1.txt" 和 "2.txt" 是 "CNM.exe" 的前身，是一个文件头和主体分离的 16 进制文本（分离用于免杀操作）。样本会通过 bat 文件进行拼接，并继续执行拼接后的 "exe" 文件。

"CNM.exe" 内部执行过程中会加载同目录下 "opl.txt"，后者是一个加密过的用于计划任务的相关代码文件，解密算法如下所示。写入的计划任务用户启动下一阶段的主体文件 "erp.exe"，这是一个用于与 C2 进行通信的关键文件。

2. 第二阶段：

erp.exe 是一个白文件，样本使用白加黑的方式规避杀软查杀。其会加载同目录下 "libcurl.dll"，后者会加载同目录下 "xo.had" 进行解密并作为回调函数加载执行。

在分析的过程中发现其在 "Services" 服务项中注册了 "Rslmxp nnjkwaum" 目录，并设立 "ConnentGroup" 键，该健是用于统筹连接用的 C2 IP 及标识相关进程使用的。最后样本会单独开启线程进行通信相关操作，连接建立后会在循环中监听信息，后续操作均可以插件的形式下发，以此进行远控和保持配置更新。

溯源分析：

值得注意的是，以 erp.exe 部分为主体的进行区分，该类样本早在 3 月份就被相关技术论坛发现及上传，后续发现的相关样本都是其免杀对抗的升级版本。主体文件中 "erp.exe" 所使用的伪造的数字签名和文件信息也在相关“银狐”分析报告中被提及，回顾整个攻击的 "TTP" 和针对的人群（财务类人员），种种证据表明这又是一起“银狐”代表的攻击事件。

二、附录

• C&C：
• HASH：

来源：2024新澳门六肖，高效策略设计方案

请注意，微信群聊再现“银狐”病毒新变种，用户需提高警惕，避免点击未知来源的文件，确保个人信息和系统的安全。