在开始本期内容之前,我们先来玩一个“无奖竞猜”:
请大家凭直觉判断一下,下面这八款软件的官网主页中,哪些是真的,哪些是假的?(点击可看大图)
相信大家都已经完成了自己的选择,那我们下面就来揭晓答案:
其实,上面这些官网截图——
如果你的第一反应是“这怎么可能?界面一模一样啊!”,那么恭喜你,你已经成为了黑产猎手眼中的“完美猎物”。究竟是怎么回事?且听小编细细道来。
大概从2025年末开始,一种被称为“银狐”的黑产木马再次肆虐网络。但这次,攻击者们并没有单纯依赖系统漏洞去传播病毒,而是通过大批量伪造常用软件的官网下载页面,诱导用户主动下载并运行木马文件。
这些假冒网站不仅页面仿真度极高,域名也和真正的软件官网及其相像,并且往往会购买广告位或通过一些手段优化自身在搜索引擎的关键词排名,使其更容易出现在用户的搜索结果中。
(例如,假微信电脑版官网就直接排在真正的微信和WeChat官网下面,这个域名pc-weixin-qq更是想以假乱真)
由于网站主体不在国内,且这些“李鬼”域名也都是在国外注册的,并未取得国内备案,因此这些假官网更多泛滥于国际搜索引擎(如必应Bing、谷歌Google)的结果页首位。
不过这并不意味着国内搜索引擎绝对安全,黑产仍在不断尝试绕过监管。
(事件的起源是出现了一堆假火绒官网,目前仍能被国际搜索引擎搜到)
这些虚假域名的注册商与服务器位于海外,这为国内的执法监管制造了天然屏障。更为棘手的是,这些域名背后的黑产团伙普遍使用了Cloudflare CDN隐匿真实的服务器IP。加之假域名数量庞大、生命周期极短、“随用随弃”的特点,导致传统的基于域名或IP的溯源手段几乎不可能定位幕后主体。
(部分假官网目前可以被各杀毒软件甚至浏览器本身拦截)
至此,我们已经明白了这些假官网的“真面目”,那它们究竟是如何让我们的电脑中毒的呢?继续看下去,我们来现身说法!
· 小编用虚拟机测试该木马,环境为Windows 11 25H2(26200.7462,发文时的最新正式版),使用本地账户登录,未安装任何杀毒软件,且完全关闭了Windows Defender的病毒威胁防护。这么做只是为了测试木马运行,大家一定一定不要模仿,切莫以身试毒!!!
我们以下载WPS为例。从刚才WPS的“官网”,下载可得一个zip压缩包。打开后可看到,压缩包只有一个同名的exe,有的可能是msi,反正都是安装包。
可以看到,这个假exe安装包没有任何软件信息、版权信息和数字签名,且相比真安装包,图标也不同。
直接双击运行,小编给全过程录制了一个长gif。可以看到,运行后,系统前台先是没有任何反应,过了几秒后,开始运行正常的WPS安装程序。同时系统托盘出现几次断网操作。这个断网,就是木马在修改系统网络配置或注入进程的典型特征。
搞笑的是,有时候出现的正常安装程序也会“货不对板”,我们可能从假官网下的是“杀软”,但运行后是WPS。
(加载出正常WPS安装程序的同时,注意看右下角托盘,出现了断网)
有的安装程序运行后,可能不会直接自动弹出原版的安装程序,而是在桌面上创建一个李鬼快捷方式(名字如“谷 歌”“火 绒”等),双击它,才会打开正常的安装程序。
有的甚至会提供一个自身的安装程序,需要我们执行安装操作。这类情况在安装过程中或安装结束后就会自动投毒。
提示安装完成后,目标软件也会自动跟着安装完成。但此时你就会发现,病毒开始搞骚操作了。比如,要关掉UAC:
为了测试不同假官网的安装包反应如何,小编已经在这台虚拟机上运行了好几个不同的假安装包副本。可以说,这台虚拟机现在已经被“百毒入侵”了,看似桌面人畜无害,实则CPU已经疯狂拉满。
好的!现在假设我们突然意识到不对劲,发现电脑已经中招了。那我们来试试安装杀毒软件处理一下吧。
试试360,安装成功了,但是闪退,无法正常运行。还有一种可能是,安装直接就失败。
火绒也可以安装,但安装过程比正常情况慢很多。不过比360强的是,可以正常运行。但其病毒库的更新渠道似乎被木马封上了。
火绒也是可以正常查杀的,还能找到病毒,可惜找到的并不全,且无法处理,提示失败。很明显,系统的核心权限已被木马劫持。而且此时,虚拟机开始变得特别卡。
Windows Defender的防护也可以正常开启,但同样连接不到云端的病毒库。导致能扫到病毒,却也无法处理。
此时,如果我们不处理或者处理不了的话,这个银狐木马会对我们的电脑造成怎样的危害呢?
除了一般性的个人隐私泄露(如浏览记录、微信聊天记录等被窃取)外,“银狐”木马最主要的就是具备强大的远程控制能力。攻击者可以像操作自己的电脑一样,在我们不知不觉中,实时监控我们电脑的屏幕、操控鼠标键盘,进行转账等各种高危敏感操作。
此外,受感染的设备极大概率会成为黑产手中的“肉鸡”,换句话说,我们的电脑可能会被用于挖矿,或被作为代理跳板供其他黑产团伙发起网络攻击。此时,电脑用户不仅会面临直接的经济财产损失,还可能因设备参与网络攻击而卷入法律风险!
如果大家的电脑真出现了上述情况,中了银狐木马,我们又应该如何正确应对和处理呢?不要急,小编这就来告诉大家。
首先,去官网下载360系统急救箱。按照下图,认准官网下载,谨防后续对它的伪装!
(https://weishi.360.cn/jijiuxiang/index.html)
然后解压360系统急救箱到任意目录,切勿直接运行主程序,应找到文件夹中的“360 急救箱运行不了请点我-加强版.bat”,右键选择以管理员身份运行。
打开主界面后,勾选“强力模式”“全盘扫描”,然后选择“开始急救”。这个过程需要很长时间,扫描完后勾选全部内容,选择“立即处理”。等待处理完成。
(什么叫“唯一真神”,图中被处理的随机名称文件都是木马程序)
重启进入桌面,依次右击所有桌面上的李鬼快捷方式,打开所在位置:
彻底删除它们各自所在文件夹,有时可能要删除快捷方式目标位置的上两级文件夹才算彻底!强烈建议用杀毒软件的文件粉碎功能,并勾选防止再生模式。这样我们就能删除掉病毒文件。随后回到桌面,删除快捷方式本身。
最后,如果杀毒软件还是不能正常运行,那就去下载官方最新版安装包重新覆盖安装一下。随后使用杀毒软件做一次全盘扫描,将遗留的问题处理一下,确保斩草除根!这样,一切就都结束了。
所以,说了这么多,对于我们正常的电脑用户而言,我们在使用过程中需要注意哪些方面,才能有效避免银狐病毒的感染呢?
千万不要觉得自己技术好、现在网络环境也好,就不装杀毒软件!火绒、360等国产杀软目前对这类针对国内环境的假域名和木马文件拦截效率很高。请保持安装一款你觉得好用的杀毒软件,并保持始终在最新版本!如果你不想装第三方杀软,请务必开启Windows自带的 Defender,它虽然安静,但其实非常强力。
日常上网,建议使用Edge、Chrome 或火狐即可,老旧系统(Win7/XP)可以使用Supermium。不要用其它不知名的浏览器。另外强烈建议: 在浏览器中安装uBlock、AdGuard等广告拦截插件,一款即可,能屏蔽掉绝大多数假官网的推广链接。
如果你对电脑操作不熟悉,那对你来说下载软件最安全的地方就是Microsoft Store(微软应用商店),或者火绒自带的“火绒应用商店”。那里面的软件都是经过审核的纯净版。哪怕用360软件管家也可以,就不要去冒官网下载的险了。
目前,微软应用商店已经包含了绝大部分常用软件,可以直接使用。
同时,如果真的要去找官网下载软件,也不必过分担心。下面小编再教大家几招,一眼识破假李鬼网站!
拉到网页最底部,正规国内软件官网一定有ICP备案号和公安网备编号。如果没有,或者底部出现了国内用不了的平台链接,绝对是假的!
一般常用软件的官网域名都很简洁明了,或者直接用自定义的二级域名,其顶级域名一般也都是com或cn。如果看到一级域名中有较多的单词分隔符(如“-”“_”等)并出现了cn、app、pc等短字符作为前后缀,或者看到了.top、.vip等不符合国内软件备案要求的顶级域名,那可能就要小心了。
一般常用软件官网下载到的都是exe或msi后缀的安装包,如果你下载下来是 zip 压缩包,或实际体积与网页上标的软件大小有差异,直接删!
(这些都是小编下的病毒样本,除了杀毒文件夹和正版WPS安装包)
注意一些细节,比如官网内容有错误、布局有bug等,或者直接李鬼形态就像“有.道”“VVPS”等,这种拙劣地模仿,一眼即假!
所谓“道高一尺,魔高一丈”,黑产的攻击手段一直在进化,利用认知偏差进行的攻击,往往比单纯的利用系统漏洞更难防范。无论身处哪个行业,保持警惕、养成良好的上网习惯,始终是保护数据安全的最强防线。
希望这篇文章能为大家敲响警钟,帮助大家建立起识别伪装的意识。如果觉得本期内容有参考价值,不妨扩散给身边更多的人,让潜伏的恶意无所遁形。愿大家的数字生活都能安全无虞,远离流氓软件的侵扰!
