文章总结： 本文复盘了一起仿冒搜狗浏览器传播银狐木马的实战应急响应案例。攻击者利用DLL反射加载技术并建立计划任务、服务与驱动等多重权限维持机制，潜伏后下载二阶段木马进行远控。文章详细还原了从流量发现、样本分析到攻击链溯源的全过程，最终提出重装系统与重建引导区的彻底处置建议，并附有IOC指标与排查阻断方法。 综合评分： 91 文章分类： 应急响应,恶意软件,实战经验,威胁情报

---

双见银狐，是它，是它，就是它！

原创

z3nbyte z3nbyte

问渠安全实验室

2026年3月9日 08:54 北京

双见银狐，是它，是它，就是它！银狐大哥又来新样本了！

---

一、事件发现

天眼监测发现有两个IP存在普通远控木马活动事件，多次请求解析多个恶意域名：

time.googledns.io
time.micrsofthost.com
time.wkossclsaleklddeff.is
time.secssl.com

使用 DNSLookupView 看一下外联：

发现 svchost.exe 一直在外联，查看浏览器记录，发现 2月11日下午15:38分访问了仿冒的搜狗浏览器：

经过测试，该仿冒网址下载的样本为：

Hfauibfolwrold.exe

根据杀软识别到的记录可以找到：

第一个为权限维持目录中的文件，第二个为落地木马删除后回收站的路径，第三个为压缩包解压时存放的temp文件，随机先将第二个和第三个木马删除。

找到该目录发现目录不存在，推测为attrib命令设置了隐藏属性（现在银狐很喜欢这个啊），使用命令将其显示：

里面有权限维持使用的文件：

这里可以看到 libexpat.dll 的创建时间与下载仿冒搜狗浏览器的时间吻合：

检测为恶意，为 DLL反射加载类型。

---

二、木马二次利用

木马在潜藏了两天后，于 2月13日开始二次利用。

告警最早出现在：

2026年2月13日凌晨4:38

经过追溯天眼日志发现具体情况：

该机器于 2026年2月13日4:37 从 103.117.103.11 下载木马：

随后：

2026年2月13日4:38

开始进行外联：

2026年2月13日4:57

尝试落地文件被 天擎查杀：

落地文件在 微步和奇安信威胁情报中心 均为第一次记录（应急时间为2月13日）。

---

三、新样本关联分析

在 3月 时，朋友又分享了一个样本，告警的域名：

xiazaiabcd5.cyou

与之前仿冒搜狗浏览器的下载地址一致。

样本 MD5：

8c3ab2584e2e373d0bfbb6d63cc5c68a

首次上传时间：

3月5日

可以看到释放文件的确是 仿冒的搜狗浏览器。

---

四、攻击链还原

根据日志与样本分析，可以还原完整攻击链：

访问仿冒搜狗浏览器网站
        ↓
下载恶意程序 Hfauibfolwrold.exe
        ↓
释放 DLL 并进行反射加载
        ↓
建立权限维持（计划任务 / 服务 / 驱动 / 注册表）
        ↓
潜伏两天
        ↓
2月13日从 103.117.103.11 下载二阶段木马
        ↓
通过恶意域名进行 C2 通信

---

五、阻断与处置

在对木马进行了研判后，开始删除木马的权限维持手段。

计划任务

涉及到的两个木马文件，一个权限维持目录被彻底清除，计划任务结束禁用并删除。

保险起见，将 搜狗浏览器进程终止，相关文件删除、计划任务删除、注册表删除。（本地装了一个官方搜狗浏览器，对比了一下这些都有）

---

六、2月13日后银狐木马权限维持

服务

仿冒的服务：

---

驱动权限维持

驱动程序也进行了权限维持：

---

注册表权限维持

2月13日木马权限维持的注册表：

---

七、最终处置建议

因结合 银狐木马的危害以及实际情况，建议对该机器进行彻底重装：

• 删除所有分区
• 重建 MBR
• 重建 ESP
• 重装系统

---

IOC

恶意域名

yandibaiji0203.com
www.so-sougou.com.cn
qq-sougou.com.cn
web-google.cn
sougou-browser.com
xiazaiabcd5.cyou
time.googledns.io
time.micrsofthost.com
time.wkossclsaleklddeff.is
time.secssl.com

---

样本 Hash

8c3ab2584e2e373d0bfbb6d63cc5c68a
084f2022a5deb5bfe3ca564fe1754476
9275a5256050ebfaa3ddfdafb0dd089c

---

总结

本次事件为 仿冒软件下载传播银狐木马 的典型攻击案例。

攻击者通过：

• 仿冒软件下载站
• 投递恶意安装程序
• DLL反射加载
• 多种权限维持
• 下载二阶段木马

最终实现远控控制。

对于此类事件，建议：

• 加强软件下载来源管控
• 部署 DNS 与流量检测
• 定期审计计划任务与服务
• 出现远控行为时 优先重装系统

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：问渠安全实验室 z3nbyte z3nbyte《双见银狐，是它，是它，就是它！》