技术文章

数字世界的暗流涌动之中,新型恶意代码的迭代从未停止,“银狐”系列木马变种正以隐蔽之态渗透各类终端设备。银狐于2020年首次现身,截至目前,其发展态势已渐趋复杂,攻击手段更为强劲。银狐及其源代码的二次售卖在地下灰色世界已经形成"产业链",近年来不断进化、高频出现,为终端安全防护工作敲响了警钟。

火绒威胁情报中心近期监测到一款专门锁定浏览器主页的病毒正加速蔓延。经溯源，该病毒的源头指向搜狗输入法。

近期，火绒工程师在关注安全动态过程中发现，存在一种后门病毒以伪装成搜狗输入法的形式进行传播。此病毒采用正规签名内嵌恶意脚本的手段，以规避安全检测。

Node.js 作为一种高性能的 JavaScript 运行环境，凭借强大的功能广泛应用于服务器端开发，为开发者带来诸多便利。然而，其灵活性和跨平台特性在受到开发者青睐的同时，也逐渐吸引了攻击者注意。

流氓软件如同数字世界的寄生虫，长期侵扰用户电脑、破坏使用体验。它们往往通过看似无害的软件捆绑潜入系统，肆意弹窗广告、强制安装推广软件、窃取隐私甚至消耗系统资源，已成为网络安全环境的一大顽疾。

反作弊机制和匹配的公平性往往是竞技类游戏的重要决定性因素，由此也诞生了对应的技术平台，其中就包括Faceit。Faceit类似于国内的完美平台、5E 对战平台等第三方对战平台，主要为第一人称射击游戏提供在线匹配、反作弊服务等服务，受到不少游戏玩家的青睐。

随着国内互联网的爆发式增长，流氓软件也在不断地发展。其推广手段的不断迭代升级，反映出技术、商业与监管各方之间的复杂博弈。多数流氓软件都具备强制安装，难以卸载，捆绑推广，弹窗广告等恶意行为，通过挟持用户终端资源变现。从合作捆绑到群魔乱舞，网民的觉醒是否让流氓软件黔驴技穷了呢?并不见得，如今流氓软件也具备了“柿子挑软的捏”的特质。会尝试规避有杀软的电脑，规避访问技术论坛的技术人士，甚至规避短时间内成功卸载过流氓软件的用户。一方面我们希望源头处做好监管，一方面我们也希望每个人都能了解到流氓软件的恶行并加以规避。

近期，火绒威胁情报中心监测到一批相对更为活跃的“银狐”系列变种木马。火绒安全工程师第一时间获取样本并进行分析。分析发现，该样本通过阿里云存储桶下发恶意文件，采用AppDomainManager进行白利用，并借助Python执行恶意脚本下发Go语言后门，最终实现对电脑的后门权限长期维持控制。目前，火绒安全产品能够有效拦截和查杀上述病毒。火绒6.0的内存防护功能具备精准处理此类内存加载病毒的能力，能够及时识别和阻止恶意代码在内存中的执行，从而保护用户系统的安全。

软件的恶意推广行为是长期存在的行业乱象。部分群体为追求商业利益，采用捆绑安装、虚假诱导等不正当的推广手段进行强制推广，不仅严重影响着用户的使用体验，也破坏了公平竞争的市场环境。这类推广往往会利用技术手段绕过用户授权，不断挑战用户容忍底线、违背用户意愿强制安装软件，还会侵占设备存储空间、拖慢运行速度，更有甚者还会注入后门，侵犯用户隐私、窃取敏感信息，给本应便捷的网络体验带来困扰。

近期，火绒安全实验室检测到一种包含附件 Purchase Order.vbe 的邮件。而这看似普通的邮件其实是一封钓鱼邮件，其中的附件本质上是一个恶意文件，一旦打开，藏在其中的恶意程序就会“苏醒”，悄悄窃取受害者的各种重要信息。这类攻击就是钓鱼攻击。

近期，火绒安全情报中心监测到一类高度活跃且极具威胁的攻击手法，这种手法经常被“银狐”木马等病毒利用投毒。攻击者通过精心伪造各类软件的“官网”，通过网络推广等方式诱导访问并下载安装这些冒牌软件。下载后的程序（例如本次捕获的伪装成Sandboxie的样本）会利用二次打包等隐蔽手段，在安装过程中悄无声息地植入恶意代码，并在系统中暗设后门。

近期，火绒安全实验室收到有关用户电脑网络出现异常的反馈，溯源发现，此异常由 StilachiRAT 后门病毒引发。该病毒通过破坏安全软件的 TCP 连接与添加防火墙过滤规则的方式限制网络通信。此病毒具备利用动态解密获取字符串和函数地址来迟缓逆向分析效率的能力，还会利用 WMI 服务获取系统信息等手段检测虚拟机。其攻击行为包括窃取剪切板、文件或窗口中的密码、虚拟货币钱包地址、存于 Chrome 浏览器中的登录秘钥等数据，还可通过后门实现截屏和执行任意程序等操作。目前，火绒安全产品可对上述窃密木马进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。