伪装Telegram汉化包银狐钓鱼木马的隐蔽传播术

作者：火绒安全
发布时间：2026-02-02
阅读量：627

近期，火绒安全团队接获多起用户反馈，称一款伪装为“Telegram汉化安装程序”的文件运行后出现异常。经火绒安全团队分析，该文件实为银狐钓鱼木马，其在运行时会释放AutoHotKey解释器和恶意脚本到公共目录，通过多阶段APC注入技术，将恶意代码注入系统进程WmiPrvSE.exe，下载执行Winos远控程序、监控用户键盘，该木马还使用计划任务实现持久化，持续监控用户行为并向攻击者传输数据，最终实现窃取用户账号密码、支付信息等敏感数据的目的，为用户财产及隐私带来极大安全风险。

目前，火绒安全产品可通过文件实时监控、恶意行为监控、内存防护等多重机制，对上述木马实现精准拦截与查杀。

流程图如下：

一、样本分析

1.1 安装阶段

该木马安装包会释放五个文件到C:\Users\Public目录：

安装包会释放五个文件到.png

包括本样本在内，最近多款银狐木马均滥用了Caphyon公司开发的Windows安装包制作工具Advanced Installer来快速制作恶意msi安装包。该类型安装包特点为，释放文件后会通过内部捆绑的组件viewer.exe隐蔽启动程序。本样本会启动cmd进程，将Win.exe复制为Start.exe，然后执行Win.exe。

然后执行Win.exe.png

下表为Viewer.exe功能：

下表为viewer.exe功能.png

Viewer.exe 还会根据传入的参数字符串前缀，使用三种不同的方式解析得到需要启动的文件路径。

（1）协议路径：识别到http/mail开头参数，在%temp%目录创建一个url快捷方式并使用ShellExecuteW执行；

（2）注册表路径：识别到HK开头参数，查询对应的注册表后传入文件路径；

（3）直接路径：可执行文件的绝对或相对路径。

Viewer.exe根据其自身令牌权限不同，进一步细分两种不同的启动模式：

（1）普通启动：如果当前程序为普通权限，使用ShellExecuteExW或者cmd执行。

使用ShellExecuteExW或者cmd执行.png

使用ShellExecuteExW或者cmd执行2.png

（2）管理员启动：如果当前程序为管理员权限，通过COM接口委托已经存在的explorer进程执行。这一方法源自微软工程师 Raymond Chen提出的降权启动技术，该技术可在安装过程中让程序被资源管理器以低权限启动。

具体流程为——

1、定位桌面：通过CoCreateInstance实例化ShellWindows类，按照IShellWindows接口规范调用FindWindowSW，精确获取桌面对象；

2、获取视图：通过桌面对象的IUnknown_QueryService获取STopLevelBrowser服务，按照IShellBrowser接口规范调用QueryActiveShellView得到IShellView对象；

3、执行命令：IShellView对象再调用GetItemObject获取Dispatch接口，最终通过ShellExecute执行。

1.2 脚本阶段

恶意软件利用了AutoHotKey脚本解释器的默认功能，即不带参数启动时，会自动执行同目录下的同名ahk文件。比如Win.exe启动会执行Win.ahk脚本。

Win.ahk脚本在启动并设置完telegram语言为中文后，会读取Uac.jpg作为shellcode，创建并挂起系统进程WmiPrvSE.exe，使用QueueUserAPC注入。Shellcode的功能为在内存中搜索MZ头然后手动映射一个upx打包的PE文件。

映射一个upx打包的PE文件.png

映射一个upx打包的PE文件2.png

1.3 BypassUAC

WmiPrvSE.exe被注入后，会修改PEB结构将自身伪造为explorer进程，进而使用COM Elevation Moniker技术通过ICMLuaUtil调用ShellExec启动Start.exe，执行Start.ahk脚本。

执行Start.ahk脚本.png

1.4 下载器

Start.ahk逻辑与Win.ahk类似，读取Shell.jpg作为Shellcode，使用QueueUserAPC注入到WmiPrvSE.exe进程，进行手动映射。最终解包的PE文件会将系统计划任务程序schtasks.exe复制到C:\Users\Public\Us\Jh.exe，创建名为Vip的计划任务执行Win.exe。

创建名为Vip的计划任务执行Win.exe.png