应急响应报告:银狐木马(Silver Fox)深度查杀复盘
事件类型:恶意软件感染、APT 对抗、挖矿/远控木马 威胁等级:高 (涉及持久化驻留、系统核心进程注入) 样本来源:伪造的 Clash 汉化版安装包 核心工具:Kaspersky Rescue Disk (KRD)、火绒安全 (Huorong)、PowerShell
1. 事件摘要
本机感染了针对性极强的“银狐”木马变种。该病毒通过 SEO 投毒(假冒 Clash 官网)进入系统,利用“白加黑”(DLL 劫持)技术运行。感染后,病毒表现为多层次的持久化驻留:
-
进程注入:寄生于
sihost.exe,taskhostw.exe等系统进程,实现无文件联网。 -
服务伪装:劫持 Edge/Chrome 的升级服务 (
elevation_service.exe)。 -
隐蔽驻留:利用 Windows IIS 目录 (
C:\inetpub\serv) 隐藏母体,并注册乱码服务进行守护。
经过多轮对抗(离线杀毒 -> 启动项清理 -> 文件粉碎 -> 服务溯源),最终通过 PowerShell 定位并清除系统底层的恶意服务,恢复系统安全。
2. 威胁情报
2.1 病毒特征 (IOCs)
-
C2 通信域名:
uukk.wec512.com(动态域名,用于接收指令) -
恶意行为:
-
开机自动运行随机名
.bat脚本(如RgMrdr.bat,bYwfco.bat)。 -
火绒反复拦截
cmd.exe调用 PowerShell。
-
-
关键文件路径:
-
D:\west-world\(病毒释放源/假软件目录) -
C:\Program Files (x86)\Microsoft\Edge\Application\<Version>\elevation_service.exe(被替换的升级程序) -
C:\inetpub\serv\(隐藏极深的母体目录)
-
2.2 攻击技术分析
-
白利用 (Living off the Land):不直接运行病毒 EXE,而是调用合法的
TrustedInstaller和cmd.exe来执行恶意代码,绕过传统杀软。 -
看门狗机制:杀掉进程后,利用 WMI 或 隐蔽服务 立即重启病毒,形成“打地鼠”局面。
-
社会工程学:伪装成常用工具(Clash, PDF 转换器),诱导用户主动下载并授权。
3. 查杀全流程复盘
此处以我自己的杀毒过程为例,分阶段记录每一步操作与思考
阶段一:离线急救 (止损)
-
操作:制作 Kaspersky Rescue Disk (KRD) 启动盘,进入 Linux 环境进行全盘扫描。
-
成果:在 Windows 未启动的情况下,查杀并删除了大部分病毒主体文件(打破了病毒的自我保护机制)。
-
局限:无法清理 Windows 注册表和服务中的逻辑残留,导致开机后病毒通过残留机制“复活”。
阶段二:清理“替身” (对抗复活)
-
现象:回到 Windows 后,火绒疯狂弹窗拦截
sihost.exe联网。 -
发现:
-
通过火绒日志发现源头是
D:\west-world(Clash)。操作:粉碎整个文件夹。 -
重启后依然报警,发现日志指向 Edge 和 Chrome 目录下的
elevation_service.exe。操作:核对文件修改时间(异常),使用火绒“文件粉碎”强制删除。
-
-
教训:银狐会感染多个浏览器组件作为备用启动项,必须同时清理 Edge、EdgeCore 和 Chrome 目录。
阶段三:终极溯源 (斩草除根)
-
现象:文件都删了,但火绒显示系统服务 (
TrustedInstaller) 仍在尝试调用 CMD。 -
判定:存在隐蔽的 Windows 服务或 WMI 订阅。
-
排查:使用 PowerShell 扫描带敏感参数的服务。
-
定位:发现乱码服务
9QcClrA,指向冷门目录C:\inetpub\serv\azpW6\。 -
处置:
-
指令删除服务:
sc delete 9QcClrA -
粉碎目录:
C:\inetpub\serv
-
-
结果:重启后系统彻底恢复平静。
4. 技术手册:关键指令与工具 (Playbook)
4.1 PowerShell 溯源指令
在任务管理器无法发现异常时,使用管理员权限运行 PowerShell 进行排查。
查找包含 cmd/bat/powershell 的恶意服务(核心指令):
Get-WmiObject Win32_Service | Where-Object { $_.PathName -match "cmd|bat|powershell" } | Select-Object Name, DisplayName, PathName, State
查找 WMI 持久化攻击(无文件攻击排查):
Get-WmiObject -Namespace root\subscription -Class __EventConsumer | Select-Object Name
清除 WMI 病毒订阅(“盲打”化疗方案):
Get-WmiObject -Namespace root\subscription -Class __EventFilter | Remove-WmiObject
Get-WmiObject -Namespace root\subscription -Class __EventConsumer | Remove-WmiObject
Get-WmiObject -Namespace root\subscription -Class __FilterToConsumerBinding | Remove-WmiObject
4.2 常用 CMD 指令
删除顽固服务:
sc delete "服务名称"
# 例如:sc delete 9QcClrA
4.3 火绒工具箱应用
-
SysRepair (系统修复):修复被篡改的注册表项。
-
Autoruns (启动项管理):重点检查
Services和Scheduled Tasks中的红色(文件丢失)项。 -
FileShred (文件粉碎):对抗提示“正在运行无法删除”的病毒文件。
-
Netflux (流量监控):监控哪个进程在连接 C2 服务器。
-
LogView (日志查看器):分析系统日志,定位异常行为时间点。导出日志直接扔给gemini等大模型分析(这个是在火狐页面的首页)
5. 防范与总结 (Prevention)
-
下载源管控:
-
Clash/OBS 等开源软件:只去 GitHub Releases 下载。
-
绝不相信:百度/谷歌搜索结果前三名的“XX软件中文版”、“高速下载器”。
-
-
账号安全:
-
中招后必须在手机端修改微信、支付宝、网银密码(电脑端可能已被记录键盘)。
-
检查 Telegram/Discord 等聊天软件是否被盗号发送钓鱼链接。
-
-
日常维护:
-
定期检查
C:\Program Files (x86)下的浏览器目录是否有修改时间异常的文件。 -
警惕电脑无故风扇狂转或
sihost.exe占用过高。
-
6. 疑点澄清
我的clash安装包是 4 月份下载的,为何潜伏半年后才中毒?
原因如下:
-
C2 指令控制 (Command & Control):该伪装软件本质是一个“僵尸网络客户端”。在 4-11 月期间,黑客可能处于“养号”阶段,软件仅在后台静默运行(或仅窃取隐私)。12 月黑客服务器下发了“挖矿/攻击”的新指令,导致病毒行为突然活跃。
-
恶意更新机制:伪装软件内置了后门,可能在近期通过“自动更新”功能拉取了最新的病毒载荷(Payload)。
-
确证逻辑:火绒日志记录明确显示 clash-win64.exe 尝试连接恶意域名 uukk.wec512.com。这证明该文件本身就是带毒的,无论文件夹名称如何,核心可执行文件已被篡改。
总结:银狐木马的查杀是一场对“持久化机制”的剥离过程。单纯删文件无效,必须结合 PowerShell 行为分析 和 启动项/服务清理 才能彻底根除。