火绒安全软件

标题: 情况说明|部分企业管理软件被黑客利用投放银狐病毒 [打印本页]

作者: huoronganquan    时间: 2024-11-5 18:32
标题: 情况说明|部分企业管理软件被黑客利用投放银狐病毒
本帖最后由 huoronganquan 于 2024-11-6 14:15 编辑

尊敬的火绒用户:
近期银狐病毒不断活跃,多位用户反馈深受其害,出现中毒、电脑被远控的现象,经火绒工程师排查发现,用户中毒原因与远控工具有直接关联。黑客会利用盗版IP-guard等企业管理软件远控受害者客户端,诱骗受害者安装客户端实施远控,致使用户财产、数据造成严重损失与泄露。客户端银狐病毒执行流程图如下。
图片1.png
执行流程图

由于银狐病毒仍在持续对抗杀软,且会利用杀软认证的IP-guard 早期版本,逃避杀软检测,诱骗用户安装客户端,为了保障用户的终端安全,从根源解决被远控的问题,经我司与IP-guard积极沟通,目前双方达成一致的处理方式是对可能被黑客利用的IP-guard版本进行查杀。请用户尽快按照版本说明进行更新,以提高防御能力。

版本说明:
火绒企业版用户,版本需满足以下全部要求即可支持查杀:
中心版本2.0.14.7及以上
终端版本2.0.14.4及以上
病毒库2024-11-05及以上
火绒个人版用户,不同产品版本满足以下要求即可支持查杀:
火绒安全6.0版本6.0.2.4及以上且病毒库版本2024-11-05及以上
火绒安全5.0版本5.0.75.16及以上且病毒库版本2024-11-05及以上
图片2.png
火绒查杀日志
图片3.png
火绒查杀日志

银狐病毒通常以企事业的管理人员、财务人员、销售人员等为主要目标,伪装成带有税务、汇总、汇票、收款、稽查、通告、公示等关键词的钓鱼文件,这些文件实际为病毒程序,通过诱骗用户点击下载并运行的方式获得计算机控制权限。目前已知的银狐病毒仍在持续进行与杀软的对抗,在攻击方式、攻击组件部署方式、恶意样本投递方式上不断变化,通过白加黑、加密payload、内存加载等免杀手段,逃避杀软检测。因此,火绒安全建议相关企事业部门做好防护措施。针对此问题,防护建议如下:

若您的企业环境未使用IP-guard:
1、及时更新火绒管理中心、终端版本及病毒库至最新版本;
2、火绒个人版/企业版开启程序控制功能-【远程控制工具】选项:
(1)个人版6.0通过“防护中心”-“系统防护”-“风险软件监控”,开启“远程控制工具”功能;
(2)企业版及个人版5.0通过开启“访问控制”-“程序执行控制”,开启“远程控制工具”功能,若运维需要使用到远程软件,可单独针对该远程工具取消限制;
3、谨慎运行邮件中的附件、即时通讯工具中接收的文件。
若您的企业环境需要使用IP-guard:
1、及时更新火绒管理中心、终端版本及病毒库至最新版本,并升级IP-guard至最新版本;
2、火绒个人版/企业版开启程序控制功能-【远程控制工具】选项:
(1)个人版6.0通过“防护中心”-“系统防护”-“风险软件监控”,开启“远程控制工具”功能,并将IP-guard进行关闭,其他远程软件根据运维需求选择是否需要限制;
(2)企业版及个人版5.0通过开启“访问控制”-“程序执行控制”,开启“远程控制工具”功能,并将IP-guard进行关闭,其他远程软件根据运维需求选择是否需要关闭;
3、谨慎运行邮件中的附件、即时通讯工具中接收的文件。

近年来,企业网络安全态势日渐严峻,各类病毒持续不断的对抗杀软,造成企业敏感数据泄露或导致企业网络被入侵。在此,火绒安全建议各大企业对重点业务电脑、重点人员电脑或者全部电脑,安装火绒终端(企业版/个人版)或者第三方杀毒软件进行防护,并且进行定时杀毒。对财务等高价值人员进行相关培训或者告知相关病毒利用手法,防范点击陌生链接,确认信息来源真实性。严格遵守相关的工作规范,降低通过身份伪造、语言诱导导致的财产损失。

附:参考下列报告可了解银狐病毒相关细节
"成熟后门"再度投递,银狐变种利用MSI实行远控
请注意,微信群聊再现“银狐”病毒新变种
注意防范:银狐、毒鼠类病毒近期活跃 利用通信工具传播

若您在使用火绒产品的过程中遇到任何问题,请及时与我们联系,感谢您对火绒的支持!


火绒安全
2024年11月5日



作者: 化悲痛为力量    时间: 2024-11-5 18:43
提高警惕
作者: pzacker    时间: 2024-11-5 18:57
灵感源自于我的帖子吧

作者: 可你太好    时间: 2024-11-6 10:53
这个怎么一直杀,一直弹窗,杀不干净吗
作者: 火绒运营专员    时间: 2024-11-6 11:09
可你太好 发表于 2024-11-6 10:53
这个怎么一直杀,一直弹窗,杀不干净吗

您好,您这边本地有安装使用ip-guard吗?
作者: 可你太好    时间: 2024-11-6 11:10
火绒运营专员 发表于 2024-11-6 11:09
您好,您这边本地有安装使用ip-guard吗?

没有,从来没安装过
作者: 火绒运营专员    时间: 2024-11-6 11:15
可你太好 发表于 2024-11-6 11:10
没有,从来没安装过

好的,您这边的病毒库版本是最新的吗?方便添加联系方式详细看下吗?
作者: 可你太好    时间: 2024-11-6 11:21
火绒运营专员 发表于 2024-11-6 11:15
好的,您这边的病毒库版本是最新的吗?方便添加联系方式详细看下吗?

是最新的版本:5.0.76.1 病毒库:2024-11-05 19:38
作者: 火绒运营专员    时间: 2024-11-6 11:30
本帖最后由 火绒运营专员 于 2024-11-6 11:39 编辑
可你太好 发表于 2024-11-6 11:21
是最新的版本:5.0.76.1 病毒库:2024-11-05 19:38

好的,您方便留个联系方式这边协助您具体看下吗?已向您论坛预留的QQ发起申请~
作者: 火绒运营专员    时间: 2024-11-6 15:19
可你太好 发表于 2024-11-6 10:53
这个怎么一直杀,一直弹窗,杀不干净吗

已在QQ沟通解决~
作者: bbwbbe    时间: 2024-11-6 20:44
火绒运营专员 发表于 2024-11-6 11:30
好的,您方便留个联系方式这边协助您具体看下吗?已向您论坛预留的QQ发起申请~ ...

能帮我看看吗?
作者: bbwbbe    时间: 2024-11-6 20:50
本帖最后由 bbwbbe 于 2024-11-6 21:03 编辑
bbwbbe 发表于 2024-11-6 20:44
能帮我看看吗?
能帮我看看吗?具体什么情况?好像就是这个病毒!

作者: yxs01    时间: 2024-11-6 23:16
火绒运营专员 发表于 2024-11-6 15:19
已在QQ沟通解决~

请问也能帮我解决么,一样是删不掉,每隔一分钟就弹出一次查杀弹窗,电脑也没下载个那个IP软件,强求帮助
作者: yxs01    时间: 2024-11-6 23:20
火绒运营专员 发表于 2024-11-6 15:19
已在QQ沟通解决~

试过全盘清理,但是清理完后是不弹窗了,但是关机重启后必须强制修复才能开机,不然无法开机,修复完开机又会无限制弹窗
作者: 火绒运营专员    时间: 2024-11-7 08:43
bbwbbe 发表于 2024-11-6 20:50
能帮我看看吗?具体什么情况?好像就是这个病毒!

您好,麻烦留下您的联系方式协助您看下~
作者: 火绒运营专员    时间: 2024-11-7 08:44
本帖最后由 火绒运营专员 于 2024-11-7 11:48 编辑
yxs01 发表于 2024-11-6 23:20
试过全盘清理,但是清理完后是不弹窗了,但是关机重启后必须强制修复才能开机,不然无法开机,修复完开机 ...

您好,已向您论坛预留的QQ发起申请,麻烦您通过下~
作者: pengxiaobai    时间: 2024-11-7 15:48
可以帮我也看一下吗,我的QQ是511493066,谢谢啦
作者: 火绒运营专员    时间: 2024-11-7 15:54
pengxiaobai 发表于 2024-11-7 15:48
可以帮我也看一下吗,我的QQ是511493066,谢谢啦

您好,您的QQ有验证问题无法直接添加,您可以添加运营QQ:1848573058 这边协助您解决下哈~
作者: pengxiaobai    时间: 2024-11-7 15:57
火绒运营专员 发表于 2024-11-7 15:54
您好,您的QQ有验证问题无法直接添加,您可以添加运营QQ:1848573058 这边协助您解决下哈~ ...

好的,谢谢啦
作者: 火绒运营专员    时间: 2024-11-8 12:24
bbwbbe 发表于 2024-11-6 20:50
能帮我看看吗?具体什么情况?好像就是这个病毒!

您好,您这边全盘查杀后问题解决了吗?麻烦您留下联系方式这边协助看下~
作者: 火绒运营专员    时间: 2024-11-11 13:43
bbwbbe 发表于 2024-11-6 20:44
能帮我看看吗?

您好,麻烦留下您的联系方式协助您看下~
作者: 火绒运营专员    时间: 2024-11-15 18:16
bbwbbe 发表于 2024-11-6 20:50
能帮我看看吗?具体什么情况?好像就是这个病毒!

您好,您更新火绒至最新版本后,全盘查杀即可~
作者: messao    时间: 2024-12-12 14:28
安装不明文件中毒了,查了是利用这个IP-Guard。使用Ipguard移除工具-ClearAgent3清理后正常了一些,火绒也不报了,但是后面Egde浏览器不能使用。火绒进行全盘查杀,查出8个病毒处理了7个。还有没有解决办法?多谢了攻城狮们!
作者: 火绒运营专员    时间: 2024-12-12 14:31
messao 发表于 2024-12-12 14:28
安装不明文件中毒了,查了是利用这个IP-Guard。使用Ipguard移除工具-ClearAgent3清理后正常了一些,火绒也 ...

您好,火绒安全日志麻烦上传至论坛,这边看下。
作者: messao    时间: 2024-12-12 14:44
本帖最后由 messao 于 2024-12-12 14:53 编辑
火绒运营专员 发表于 2024-12-12 14:31
您好,火绒安全日志麻烦上传至论坛,这边看下。

1733985954909.jpg

作者: 火绒运营专员    时间: 2024-12-12 14:52
messao 发表于 2024-12-12 14:44

您好,这边加载不出来您提供的信息,麻烦留下QQ,这边协助您排查看下。
作者: messao    时间: 2024-12-12 14:54
火绒运营专员 发表于 2024-12-12 14:52
您好,这边加载不出来您提供的信息,麻烦留下QQ,这边协助您排查看下。

QQ 1318686166 现在就是Edge浏览器不能用
作者: 火绒运营专员    时间: 2024-12-12 15:01
messao 发表于 2024-12-12 14:54
QQ 1318686166 现在就是Edge浏览器不能用

已添加您
作者: 伯仲叔季    时间: 2024-12-23 13:57
我这边中了银狐病毒,现在也不知道是否完全杀干净了,这要怎么办呢?
作者: 火绒运营专员    时间: 2024-12-23 14:08
伯仲叔季 发表于 2024-12-23 13:57
我这边中了银狐病毒,现在也不知道是否完全杀干净了,这要怎么办呢?

使用火绒有清理病毒是吗,清理后还有异常情况吗




欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4