一、事件概述监管单位通报应急单位存在与疑似银狐木马存在异常通信行为需对该情况进行排查与处置。单位内存在三台主机有非法外联情况通过网络设备均定位到相关主机。经现场排查情况如下:设备一于2026年2月5日通过仿冒网站下载谷歌浏览器Chrome:https://download.chrome-google.sbs/downloads/chrorne.php设备二于2025年12月06日 08:50:00通过仿冒网站下载WPS:https://wp-wps.com/download/设备三于2025年12月30日通过仿冒网站下载谷歌浏览器三起事情均为下载了网上仿冒软件的钓鱼站点非同一事件二、设备一1. 微步情报研判精准判定异常通信域名的恶意属性依托微步云在线情报平台对可疑远控www.tamei.cyou开展深度情报核查,确认为银狐木马2. 火绒网络监控定位通过火绒监控网络发现有两个恶意域名请求www.tamei.cyou和www.noggrtea.cyou3. 定位非法外联www.tamei.cyou发现svchost.exe被注入,通过ProcessExplorer工具定位到2192线程,发现无对应模块推断出为无文件内存注入。4. 定位非法可疑外联软件浏览器下载记录发现银狐木马 下载地址:https://download.chrome-google.sbs/downloads/chrorne.php。将下载的CInrome1c22-x64.exe进行微步云沙箱分析得出www.tamei.cyou的远控程序5. 清理病毒提取病毒样本到虚拟机使用Noriben进行监控分析。将Noriben分析结果用AI整理出木马释放目录,启动项,注册表,计划任务等清单,并写出一键清理工具。6. 定位非法外联www.noggrtea.cyou通过火绒定位到WindowsEvent.exe,位于C:\ProgramData\CfServerSoftwareDistributi目录下7. 清除病毒启动项清除三、设备二1. 微步情报研判精准判定异常通信域名的恶意属性依托微步云在线情报平台对可疑远控www.tuiguang168.top开展深度情报核查,确认为银狐木马2. 火绒网络监控定位发现进程svchost.exe和sihost.exe被注入。判断为为无文件内存注入。3. 火绒全盘查杀通过火绒全盘查杀发现木马计划任务、启动项和位置4. Services服务排查通过Autoruns发现木马权限维持注册的服务Kjz8gl以及木马位置位于:C:\Users|xiwo\AppDataLocal\temp\1sysb5.溯源木马来源使用hack-browser-data工具对浏览器下载记录进行导出,发现wps仿冒网站并定位来源为C:\Users\xiwo\Downloads\wpsbahwx64.2.6.5.zip6. 删除木马四、设备三1. 微步情报研判精准判定异常通信域名的恶意属性依托微步云在线情报平台对可疑远控www.feiji168168.vip开展深度情报核查,确认为银狐木马。2. 通过Autotuns服务定位到木马位置发现木马在services服务下创建服务进行权限维持并发现木马文件位置3. 定位非法可疑外联软件4. 删除病毒提取病毒样本到虚拟机使用Noriben进行监控分析。将Noriben分析结果用AI整理出木马释放目录,启动项,注册表,计划任务等清单,并写出一键清理工具。