前言概述

最近几年银狐类黑产团伙非常活跃，今年这些黑产团伙会更加活跃，而且仍然会不断的更新自己的攻击样本，采用各种免杀方式，逃避安全厂商的检测，此前大部分银狐黑产团伙使用各种修改版的Gh0st远控作为其攻击武器，远程控制受害者主机之后，进行相关的网络犯罪活动。

群里有朋友分享了一个从钓鱼网站下载的2345看图王安装程序的银狐样本，如下所示：

从分享的下载链接下载到相关的样本，对样本进行分析。

样本分析

1.从分享的下载链接下载到相关的样本，对样本进行分析。

[出自:jiwo.org]

2.解析MSI安装程序，如下所示：

3.CustomAction文件内容，如下所示：

4.解压缩获取到恶意模块，如下所示：

5.使用微软的无效数字签名，如下所示：

6.样本采用C语言编写，编译时间为2024年9月12日，应该是一个老银狐样本，如下所示：

7.判断系统区域语言是否为中国地区，如果不为中国地区，则退出，如下所示：

8.从远程服务器上下载相关的恶意文件并解密，如下所示：

远程服务器已经关闭，获取不到相关的文件，其他分析省略了，有兴趣的自己去关联分析，找相关的样本和报告学习一下吧。