银狐肆虐，小白该如何防范，如何自动化狩猎钓鱼站点-文末附自动化检测程序

简介

2024年11月，国家计算机病毒应急处置中心发布了一份报告，名为《关于针对我国用户的“银狐”木马病毒再次出现新变种并更新传播手法的预警报告》，该报告阐述了银狐病毒的案例，感染迹象以及防范措施，但是在过去的工作中，发现还是有很多用户在日常使用终端的时候，会感染银狐病毒。故此写下此文，旨在帮助更多的人如何去避免主机感染银狐病毒，从而避免主机遭受黑客控制。

如何识别

根据银狐病毒常见的手段，主要还是以钓鱼为主，他们往往会使用IM即时通讯软件进行钓鱼，或者是发送恶意邮件，达到感染主机的目的。

那么IM即时通信也就是QQ、微信等社交程序，这类的钓鱼感染，往往是通过好友或者是微信群进行传播，具体案例如下( 图片来源：https://www.cverc.org.cn/head/zhaiyao/news20241220-yinhu-2.htm)：

那么这类的钓鱼攻击，在日常使用时，一定要跟发送人进行确认，确认是否为个人真实发送，比如可以通过电话联系，或者是当面询问，切勿点击相关文件，避免主机感染病毒。病毒为了规避杀软的识别，往往会使用压缩包的形式进行发送，如果有人私聊或者是群聊中发送给了文件，就需要提高警惕了。

那么压缩包打开会有什么呢，可能是一个exe文件，或者是一个msi文件，具体如下：， 如果打开压缩包是这样的，切记不要点击。极有可能感染病毒。

那么肯定有小伙伴会问，我看不到文件的后缀啊，看不到他的后缀是exe还是msi，那么我们只需要在文件夹点击查看，选择文件拓展名即可看到。那么点开这个除了能够看到后缀，也能够帮助用户识别一些文件是否有恶意的，比如你下载的文件，图标看起来是一个execl或者是xls的图标，但是他的后缀是exe的格式，那么就需要提高警惕了。这个很有可能是伪装后的一个病毒。

除了以上防范外，还需要避免文件落地，指不定那天好奇，误点击，也有可能感染，那么日常使用中我们需要关闭即时通讯程序的自动下载功能，那么这里以微信为例，如下所示，找到微信的设置后，选择文件管理，然后取消开启文件自动下载功能即可：

除了以上的防范意识外，还需要警惕各类钓鱼网站，因为在近期处理的案例中，发现不少用户主机中毒，都是因为去下载常用的工具导致主机感染，如向日葵，翻译助手等等。如下案例，就是典型仿冒正常程序的站点。那么就需要谨慎在这个网站下文件了。

那么日常在使用中，普通用户如何下载程序呢，那么肯定是去官网去下载了，一般在baidu搜索需要下载的相关程序后，一般会显示以下图标，那么认准后，去下载就可以了。

自动化检测脚本

那么肯定会有小伙伴觉得，自己不太好识别这些网站，有没有比较懒的方法。当然是有的。笔者根据钓鱼页面特征，编写了一个自动化检查的脚本。只需要安装油猴插件就能够使用，该插件自动检测。

浏览器油猴，点击管理面板

点击“+”号

然后把代码copy进来，然后ctrl + S保存即可

自动化脚本狩猎

那么笔者这里就使用该脚本狩猎到一个钓鱼的域名地址。

笔者在bing浏览器搜索todesk发现一个站点，访问后发现脚本自动弹窗，如下所示

那么根据这个域名使用威胁情报进行查询，发现这个域名解析地址为境外的ip地址。

且这个域名的whois没有任何信息

那么根据这个ip进行反查发现，这个ip近期绑定了多个域名，如下所示。

并且访问该ip绑定的其他地址，访问都是存在异常告警，如下所示。

那么为了更好的确定，使用hunter对该ip进行分析，发现这个站点绑定了大量的域名，一个ip绑定多个域名，且以工具站的形式开放在公网，那么这个ip相关的站点极有可能是个钓鱼站点。

自动化脚本获取方式

1、扫描二维码，关注微信公众号，后台回复FishingHunting，即可获取检测脚本

2、访问GitHub，进行脚本获取，github地址：https://github.com/mir1ce/FishingHunting

鸣谢

该自动化脚本部分域名规则来源：

1、https://mp.weixin.qq.com/s/IR1G5tvQDYHYwvHSHWXa6Q

2、https://mp.weixin.qq.com/s/TH2tUeg2p9VWgrmLFFYA6Q

‍