文章总结： 文章记录了一次银狐木马应急响应过程。作者通过告警定位ipconfig.exe异常外连，排查发现进程被劫持调用且具备持久化启动项。经分析确认受害者误下载仿冒WPS样本导致感染，最终通过清理启动项和恶意文件清除威胁。文中详细展示了排查思路与工具使用，并附带了IOC及样本哈希供参考。 综合评分： 82 文章分类： 应急响应,恶意软件,实战经验,威胁情报

又见银狐

原创

z3nbyte z3nbyte

问渠安全实验室

2026年3月3日 10:06 北京

近期银狐木马有些猖獗。。。仿冒网站感觉更多了，隔段时间就会有一次告警。

发现天眼告警：

直接 todesk 上机排查：

DNSLookupView 看一下外联：

发现是 C:\Windows\System32\ipconfig.exe 一直在外连，直接拖下来，看是不是被替换掉了：

好的，这个文件暂时没异常，应该是被劫持调用的。

直接命令查看一下情况：

目前进程 PID 是 16284，父进程 PID 是 16184，但在查的时候没有 PID 为 16184 的进程，父进程再启动后关闭了：

这时候先终止 ipconfig.exe 的进程，随后不再外连，等待一会后也没有外联，随机将电脑重新启动，外联又开始了，这是可以排查启动项了，直接在任务管理器的启动任务里面找到了：

展开后可以看到：

就是他了，禁止他的启动，并且找到根目录：

删除后重新启动，这次没有外联了。

经过查询告警 IOC 域名和 IP，发现近期样本为 WPS：

果然在下载目录找到了 1 月 29 日下载的银狐木马：

在浏览器历史记录里面找到了下载地址：

IOC：

• dashenbaba3.com
• 27.124.10.18
• zh.wps-offce.cn

样本：

• 99aa364f8da0dd5d082fc91e394546192ec88c088e26da337ff2a57f9d73b5db
• 56fd3b6f1a6c0dd6cc71abf85fd27ecbdc91e03e12b1d1d319fb1f742450f84d
• 1bde730e860760c59db530893734d4f365c743c77e2ab091567ae1a79b25819e

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：问渠安全实验室 z3nbyte z3nbyte《又见银狐》