概述

银狐木马，又名毒鼠、谷堕、游蛇，是近年来国内非常流行的一个远控木马。主要针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击。攻击团伙通过投递远控木马，获得受害者的计算机控制权限，在系统内长期驻留，监控用户日常操作，窃取敏感信息，利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息，实施钓鱼攻击和诈骗等违法行为

银狐木马在2024年仍保持着高度活跃且不断尝试使用新的技术来躲避安全软件检测甚至是直接攻击安全软件，如利用PoolParty技术注入恶意代码至系统进程以及利用包含漏洞的正常驱动结束安全软件进程。瑞星在近段时间的威胁狩猎中意外获得了多个银狐木马的服务端程序，虽然捕获到的服务端版本相对较老，但也能让我们从另一个角度来了解银狐木马。本文除了大致介绍服务端之外，还会对近期的在野样本进行较为深入的分析