概述

  近期瑞星接到用户反馈的疑似银狐木马样本，经过分析确认，该样本是一个伪装成票务工具，是一个具备环境感知与按需投递能力的下载器，最终将下载易语言编写的模块化的银狐木马并执行。样本采用多阶段投递的方式，逐层按需落地恶意载荷。Payload执行后，并非立即窃取数据，而是优先完成对目标主机的深度环境画像，采集多种目标主机的内容，基于采集结果，恶意程序会动态评估目标价值，针对具备特定条件的机器，差异化下发特定恶意模块，实现按需精准操作的同时，大大的减少非任务代码暴露，增加分析难度。