前言注本项目为2026年1月底收尾预期2026年2月发布由于其中涉及的技术造成不可抗力的原因故在今日发布。2026年1月23日Solar 应急响应团队接到客户求助其内部安全运营中心SOC监测到终端触发“银狐”木马外联告警。经团队初步研判确认该告警为真实攻击行为。与之前发布的【银狐应急复盘】伪装搜狗输入法的银狐木马从深度溯源到彻底清除的闭环响应实录不同本次案例的排查难度显著提升。技术挑战在于当Solar应急响应团队介入时攻击者已执行了部分“痕迹抹除”操作浏览器历史记录被清空、原始下载的 Telegram 安装包已被删除。在缺乏原始样本、取证条件极其有限的情况下团队通过对受害机器进行深度取证与逆向还原最终完成了从外联告警到攻击全链路的闭环溯源。接下来我们将围绕排查与行为分析、恶意程序逆向、病毒处置、复盘结论四个维度还原这场在有限条件下的应急实战。本次应急响应技术侧流程图一、排查与行为分析1.1 异常外联定位根据告警情报远控外联 IP 为47.243.84.182。经威胁情报系统检索该 IP 尚未被标记为已知黑产基础设施极有可能是银狐团伙最新启用的 C2控制服务器节点建议自查并加入至防火墙黑名单策略。威胁情报系统对异常 IP 的多维度检索结果Solar 应急响应团队进入现场后利用系统监控工具对网络连接进行实时过滤。如图所示发现系统进程tracerpt.exe正在与目标 IP 的 1080 端口建立持续连接。通过火绒剑监控发现系统合法进程 tracerpt.exe 存在异常网络行为技术疑点分析tracerpt.exe是 Windows 原生的事件追踪日志转换工具。一个负责日志处理的系统工具为何会产生跨网段外联基于实战经验我们提出两种技术假设进程伪装恶意程序直接重命名为系统文件名试图蒙混过关类似此前【银狐应急复盘】伪装搜狗输入法的银狐木马从深度溯源到彻底清除的闭环响应实录案例中的Verifier.exe。进程注入/白加黑恶意代码被注入到合法的tracerpt.exe内存空间中借用系统白进程的身份绕过杀毒软件。1.2 疑难取证如何在无原始文件时提取样本在应急现场常会遇到一种极端情况恶意进程正在运行但磁盘上的原始文件已被删除导致无法提取。此处涉及一个经典面试题当异常进程表现为系统服务且无法直接获取样本时如何进行静态分析经典应急响应面试题其中之一的解决方案是利用内存 Dump 与模块导出技术。以 X64dbg 为例可以通过其集成的 Scylla 插件在进程运行时强行将其内存中的模块如 DLL 或 EXEDump 出来还原成静态文件。以管理员权限启动 X64dbg 准备进行内存模块抓取通过 Scylla 功能插件定位目标进程的内存映射定位并选中与外联行为相关的异常模块DLL执行 Dump 操作将内存中的恶意代码还原为物理文件知识点解析DLL 与 EXE 的关系EXE 是程序的执行主体而 DLL 是动态链接库。现代木马如银狐常采用“白加黑”架构即一个合法的 EXE 加载一个恶意 DLL。提取逻辑通过导出tracerpt.exe关联的异常tracerpt.exe.dll我们将其上传至沙箱检测结果确证其具备银狐木马特征。云沙箱静态分析报告证实提取的 DLL 具有高危银狐木马特征1.3 深度取证寻找被抹除的攻击足迹明确了进程注入的事实后下一步是寻找“注入源”。虽然浏览器历史被删但 Windows 系统的底层取证痕迹依然存在。团队利用 Solar 专业取证工具对JumpList跳转列表和Prefetch预读取文件进行了深度挖掘。Solar 综合取证工具执行系统痕迹扫描技术突破口通过分析CustomDestinations文件夹中的 JumpList 记录发现在 2026 年 1 月 9 日系统曾运行过一个名为Telegram.exe的程序银狐常伪装主流通讯程序、应用程序进行传播。JumpList 视图还原了已删除程序的运行记录证据显示伪装成 Telegram 的安装程序曾被执行定位到Telegram程序的关键触发时间点Prefetch.pf文件视图证实了程序加载顺序知识点补全CustomDestinations位于%AppData%\...\Recent\CustomDestinations记录了用户最近的操作习惯即使原始文件被删这里依然保存着执行记录。.pf 文件预读取文件记录了程序启动时加载的模块和时间是判断程序是否存在及运行次数的关键证据。结合SRUM系统资源利用率报告和MFT主文件表日志我们精准还原了攻击者的投毒路径用户于 1 月 9 日在非官方渠道下载了名为TelegramInst_setup_x64_250106.exe的压缩包并执行。SRUM 数据显示 msedge 进程在关键时间段存在大量异常下行流量SRUM 流量 IO 统计记录利用 Timsina Explorer 深度解析 MFT 日志中的文件创建记录1.4 伪装细节识别在系统日志中我们发现该“Telegram”安装程序漏洞百出拼写为Teleram缺少 g且开发者签名为NfHRRPGENKQJ而非官方的Telegram FZ-LLC。Windows 事件日志捕捉到的异常安装记录由于签名及包名低级错误导致的异常标识在安装过程中样本释放了一个名为OTGContainer.exe的关键组件。该程序伪装成“微软视窗图像升级助手”实则具备持久化特征。系统日志追踪到 OTGContainer.exe 的释放行为可疑组件 OTGContainer.exe 被定位我们通过 PowerShell 脚本对系统服务进行异常筛查重点扫描位于AppData等非系统目录下的自启动服务。# 筛选路径异常的系统服务 Get-WmiObject Win32_Service | Where-Object { $_.PathName -match ProgramData|AppData|Temp } | Select-Object Name, DisplayName, PathName, State通过脚本筛选出路径异常的服务 Zowie951d475sbs经查该服务指向的正是OTGContainer.exe。尽管沙箱对该单个白文件未报错但结合其所处环境基本判定其为“白加黑”中的“白载体”。微步云沙箱运行结果二、 恶意程序逆向分析2.1 文件信息梳理组件角色文件名功能描述MD5 指纹白载体OTGContainer.exe正常签名程序用于加载恶意 DLLdd9c53633660213eb7d8cca3c2add9bb恶意 DLLlibcurl.dll劫持核心负责解密并注入 Shellcode6d0129128c6ee34a66a56afbb2a45bc7注入器FFLOADER.exe最终实现对 tracerpt.exe 的注入a0fd0e9190330729f5896b3900d2250b加密 Payloadrbg存放加密后的恶意 Shellcode 数据31f731866d1e6244bfc64daab4f89491恶意程序攻击流程图2.2 逆向过程还原1. OTGContainer.exe静态分析与加载逻辑OTGContainer.exe是一个拥有合法数字签名的白程序。通过对该程序的导入表进行静态分析发现其在启动过程中会静态加载同目录下的libcurl.dll。这是一种典型的DLL 劫持DLL Hijacking技术手段。OTGContainer.exe(正常签名程序)在调试环境中可以清晰观测到该白程序启动后立即加载了位于非系统目录下的恶意 DLL 模块。WOW64 processhasbeendetected(pid4224) 8C0000:processC:\Users\Admin\Desktop\VGX\OTGContainer.exehasstarted(pid4224) 77310000:loadedC:\Windows\SysWOW64\ntdll.dll 77300000:loadedC:\Windows\System32\wow64cpu.dll 759C0000:loadedC:\Windows\SysWOW64\KERNEL32.DLL 75AB0000:loadedC:\Windows\SysWOW64\KERNELBASE.dll 77160000:loadedC:\Windows\SysWOW64\USER32.dll 75E10000:loadedC:\Windows\SysWOW64\win32u.dll 75D00000:loadedC:\Windows\SysWOW64\GDI32.dll 76550000:loadedC:\Windows\SysWOW64\gdi32full.dll 76880000:loadedC:\Windows\SysWOW64\msvcp_win.dll 75230000:loadedC:\Windows\SysWOW64\ucrtbase.dll 75180000:loadedC:\Windows\SysWOW64\ADVAPI32.dll 77040000:loadedC:\Windows\SysWOW64\msvcrt.dll 77345A30:threadhasstarted(tid2496) 749E0000:loadedC:\Users\Admin\Desktop\VGX\libcurl.dll 73FF0000:loadedC:\Windows\SysWOW64\MFPlat.DLL 16C0000:loadedC:\Windows\SysWOW64\sechost.dll UnloadedC:\Windows\SysWOW64\sechost.dll 75F10000:loadedC:\Windows\SysWOW64\cfgmgr32.dll 75930000:loadedC:\Windows\SysWOW64\shcore.dll 753C0000:loadedC:\Windows\SysWOW64\combase.dll 75F50000:loadedC:\Windows\SysWOW64\RPCRT4.dll 74950000:loadedC:\Windows\SysWOW64\MF.dll 74920000:loadedC:\Users\Admin\Desktop\VGX\bfcipc.dll 745F0000:loadedC:\Windows\SysWOW64\MFReadWrite.dll 748F0000:loadedC:\Windows\SysWOW64\dwmapi.dll 77345A30:threadhasstarted(tid8080) 74480000:loadedC:\Windows\SysWOW64\WINSPOOL.DRV 745E0000:loadedC:\Windows\SysWOW64\MSIMG32.dll 76450000:loadedC:\Windows\SysWOW64\sechost.dll 75200000:loadedC:\Windows\SysWOW64\bcrypt.dll 76A60000:loadedC:\Windows\SysWOW64\SHELL32.dll 73DE0000:loadedC:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.19041.5915_none_a861f0a88675f0cd\COMCTL32.dll 76640000:loadedC:\Windows\SysWOW64\SHLWAPI.dll 756D0000:loadedC:\Windows\SysWOW64\ole32.dll 74400000:loadedC:\Windows\SysWOW64\UxTheme.dll 76690000:loadedC:\Windows\SysWOW64\OLEAUT32.dll 73C70000:loadedC:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.19041.5915_none_d94ce38de1086a9b\gdiplus.dll 75DE0000:loadedC:\Windows\SysWOW64\IMM32.dll 745B0000:loadedC:\Windows\SysWOW64\oledlg.dll 73810000:loadedC:\Windows\SysWOW64\WININET.dll 743D0000:loadedC:\Windows\SysWOW64\WINMM.dll 73660000:loadedC:\Windows\SysWOW64\dbghelp.dll 73620000:loadedC:\Windows\SysWOW64\IPHLPAPI.DLL 73550000:loadedC:\Windows\SysWOW64\dxgi.dll 748C0000:loadedC:\Windows\SysWOW64\VERSION.dll 734F0000:loadedC:\Windows\SysWOW64\OLEACC.dll 748B0000:loadedC:\Windows\SysWOW64\WTSAPI32.dll 73190000:loadedC:\Windows\SysWOW64\MFCORE.DLL 76960000:loadedC:\Windows\SysWOW64\CRYPT32.dll 73140000:loadedC:\Windows\SysWOW64\powrprof.dll 743C0000:loadedC:\Windows\SysWOW64\ksuser.dll 746B0000:loadedC:\Windows\SysWOW64\kernel.appcore.dll 73030000:loadedC:\Windows\SysWOW64\mfperfhelper.dll 73000000:loadedC:\Windows\SysWOW64\dbgcore.DLL 74A20000:loadedC:\Windows\SysWOW64\CRYPTBASE.DLL 76730000:loadedC:\Windows\SysWOW64\bcryptPrimitives.dll 72FD0000:loadedC:\Windows\SysWOW64\RTWorkQ.DLL 743B0000:loadedC:\Windows\SysWOW64\UMPDC.dll PDBSRC:loadingsymbolsforC:\Users\Admin\Desktop\VGX\OTGContainer.exe...此外该程序具备特定的环境检测功能它会主动检索当前路径下是否存在ffloader.exe。若检测命中则会调用内部函数Sub_486850功能定义为LaunchFFLOADER。经逆向确认该函数通过调用 Windows 标准 APIShellExecuteExW来拉起注入程序且整个过程未触发 UAC 提权隐蔽性极强。逆向分析 Sub_486850 函数调用 ShellExecuteExW 的逻辑实现2. libcurl.dll 入口点DllMain深度解析对劫持 DLLlibcurl.dll的入口点进行动态调试。分析发现其核心恶意行为在于读取同目录下的加密数据文件rbg。构造新的可执行文件路径恶意代码加载rbg后会执行一段自定义的解密算法并将解密后的原始 Shellcode 数据流重定向写入到FFLOADER.exe进程空间中。对目标文件进行读取、处理并多次计算摘要解密后的 Payload 数据被准备写入 FFLOADER.exe3. FFLOADER.exe 注入行为分析通过现场取证分析发现该样本在执行过程中存在自毁或损坏迹象。解密出的 Payload 结果中仅起始位置的0x1000字节为有效指令代码其后半部分已全部被0x00填充。由于核心 Payload 数据的缺失导致后续的完整功能逆向受阻这也侧面反映了该银狐变种可能具备一定的反分析机制。样本执行过程存在损坏迹象2.3 收尾排查全路径证据链闭环基于上述逆向结论我们对系统进行了最终的复核排查。整条攻击链路已清晰浮现1. 持久化层恶意服务Zowieg951d475sbs确保OTGContainer.exe开机自启。2. 执行层OTGContainer.exe通过 DLL 劫持释放并拉起ffloader.exe。3. 注入层ffloader.exe最终将恶意 Shellcode 注入到系统合规程序tracerpt.exe中外联 IP47.243.84.182:1080。追踪发现在 2026 年 1 月 13 日 8:10 左右受害机器上被注入后的tracerpt.exe出现了多次异常启动记录这与前文提到的告警时间线完全吻合。系统日志显示受感染的 tracerpt.exe 在 13 日存在高频异常启动通过注册表分析我们定位到了拉起“微软视窗图像升级助手”的恶意服务配置项。注册表键值 HKLM\SYSTEM\CurrentControlSet\Services 下的恶意服务配置系统日志记录了恶意服务 Zowieg951d475sbs 的启动行为同时在OTGContainer.log本地日志中也成功提取到了该恶意组件运行时的各项行为轨迹。OTGContainer.log 内部记录的组件加载与执行轨迹三、 总结结合全量取证日志分析Solar 团队复盘了该次受害全过程 用户于 2026年1月9日在使用 Edge 浏览器期间被诱导下载了伪装成 Telegram 安装包的压缩文件。该样本利用“白加黑”架构绕过常规杀软监测通过多级释放与进程注入技术将恶意远控模块寄生在系统白进程tracerpt.exe中最终实现了长达数日的潜伏外联。四、 威胁处置建议1. 彻底清除服务项以管理员权限启动 CMD 或 PowerShell执行以下命令强制删除恶意驻留服务sc delete Zowieg951d475sbs2. 恶意文件深度清理重启计算机以断开现有的内存注入连接随后手动删除以下受污染路径C:\Users\XXX\AppData\Roaming\A8BB951EEB9A4CBBB612E19E9E3A5702\VGX3. 行为监测与复核利用网络工具确认是否仍存在 1080 端口的外联netstat -ano | findstr 47.243.84.182:1080再次核查服务状态确保清除彻底sc qc Zowieg951d475sbs五、 附录IOC 威胁情报指纹目标名称MD5SHA256OTGContainer.exedd9c53633660213eb7d8cca3c2add9bb7f3711bf1fa9a0917c0932a21305ce90fcca8c9ebd98a496ac7a35ba197e7495tracerpt.exe.dll46475782db21f886ef941b1dc01cbf16506c7692c71856cbc7cc17091e117b0c45da0d44c84c456b9494ca81b877ba71libcurl.dll6d0129128c6ee34a66a56afbb2a45bc70a68181a1419c444cae3f76f474472c0397782b02e4c4bd8d56dcf5626e4526cFFLOADER.exea0fd0e9190330729f5896b3900d2250b12400581583a1faef1fbcf223775939cc468a1a27ea346261278cb14cfe40a15rbg (Payload)31f731866d1e6244bfc64daab4f894914eaedd9bc5de9c64b8a173c9093f7fa3d4d82e863f347d51314c8b8042cbbf40恶意 C2 IP:47.243.84.182
【银狐应急复盘】伪装 Telegram 的“白加黑”银狐木马,从深度溯源到彻底清除的闭环响应实录(附自查 IOC)
发布时间:2026/7/8 3:01:19
前言注本项目为2026年1月底收尾预期2026年2月发布由于其中涉及的技术造成不可抗力的原因故在今日发布。2026年1月23日Solar 应急响应团队接到客户求助其内部安全运营中心SOC监测到终端触发“银狐”木马外联告警。经团队初步研判确认该告警为真实攻击行为。与之前发布的【银狐应急复盘】伪装搜狗输入法的银狐木马从深度溯源到彻底清除的闭环响应实录不同本次案例的排查难度显著提升。技术挑战在于当Solar应急响应团队介入时攻击者已执行了部分“痕迹抹除”操作浏览器历史记录被清空、原始下载的 Telegram 安装包已被删除。在缺乏原始样本、取证条件极其有限的情况下团队通过对受害机器进行深度取证与逆向还原最终完成了从外联告警到攻击全链路的闭环溯源。接下来我们将围绕排查与行为分析、恶意程序逆向、病毒处置、复盘结论四个维度还原这场在有限条件下的应急实战。本次应急响应技术侧流程图一、排查与行为分析1.1 异常外联定位根据告警情报远控外联 IP 为47.243.84.182。经威胁情报系统检索该 IP 尚未被标记为已知黑产基础设施极有可能是银狐团伙最新启用的 C2控制服务器节点建议自查并加入至防火墙黑名单策略。威胁情报系统对异常 IP 的多维度检索结果Solar 应急响应团队进入现场后利用系统监控工具对网络连接进行实时过滤。如图所示发现系统进程tracerpt.exe正在与目标 IP 的 1080 端口建立持续连接。通过火绒剑监控发现系统合法进程 tracerpt.exe 存在异常网络行为技术疑点分析tracerpt.exe是 Windows 原生的事件追踪日志转换工具。一个负责日志处理的系统工具为何会产生跨网段外联基于实战经验我们提出两种技术假设进程伪装恶意程序直接重命名为系统文件名试图蒙混过关类似此前【银狐应急复盘】伪装搜狗输入法的银狐木马从深度溯源到彻底清除的闭环响应实录案例中的Verifier.exe。进程注入/白加黑恶意代码被注入到合法的tracerpt.exe内存空间中借用系统白进程的身份绕过杀毒软件。1.2 疑难取证如何在无原始文件时提取样本在应急现场常会遇到一种极端情况恶意进程正在运行但磁盘上的原始文件已被删除导致无法提取。此处涉及一个经典面试题当异常进程表现为系统服务且无法直接获取样本时如何进行静态分析经典应急响应面试题其中之一的解决方案是利用内存 Dump 与模块导出技术。以 X64dbg 为例可以通过其集成的 Scylla 插件在进程运行时强行将其内存中的模块如 DLL 或 EXEDump 出来还原成静态文件。以管理员权限启动 X64dbg 准备进行内存模块抓取通过 Scylla 功能插件定位目标进程的内存映射定位并选中与外联行为相关的异常模块DLL执行 Dump 操作将内存中的恶意代码还原为物理文件知识点解析DLL 与 EXE 的关系EXE 是程序的执行主体而 DLL 是动态链接库。现代木马如银狐常采用“白加黑”架构即一个合法的 EXE 加载一个恶意 DLL。提取逻辑通过导出tracerpt.exe关联的异常tracerpt.exe.dll我们将其上传至沙箱检测结果确证其具备银狐木马特征。云沙箱静态分析报告证实提取的 DLL 具有高危银狐木马特征1.3 深度取证寻找被抹除的攻击足迹明确了进程注入的事实后下一步是寻找“注入源”。虽然浏览器历史被删但 Windows 系统的底层取证痕迹依然存在。团队利用 Solar 专业取证工具对JumpList跳转列表和Prefetch预读取文件进行了深度挖掘。Solar 综合取证工具执行系统痕迹扫描技术突破口通过分析CustomDestinations文件夹中的 JumpList 记录发现在 2026 年 1 月 9 日系统曾运行过一个名为Telegram.exe的程序银狐常伪装主流通讯程序、应用程序进行传播。JumpList 视图还原了已删除程序的运行记录证据显示伪装成 Telegram 的安装程序曾被执行定位到Telegram程序的关键触发时间点Prefetch.pf文件视图证实了程序加载顺序知识点补全CustomDestinations位于%AppData%\...\Recent\CustomDestinations记录了用户最近的操作习惯即使原始文件被删这里依然保存着执行记录。.pf 文件预读取文件记录了程序启动时加载的模块和时间是判断程序是否存在及运行次数的关键证据。结合SRUM系统资源利用率报告和MFT主文件表日志我们精准还原了攻击者的投毒路径用户于 1 月 9 日在非官方渠道下载了名为TelegramInst_setup_x64_250106.exe的压缩包并执行。SRUM 数据显示 msedge 进程在关键时间段存在大量异常下行流量SRUM 流量 IO 统计记录利用 Timsina Explorer 深度解析 MFT 日志中的文件创建记录1.4 伪装细节识别在系统日志中我们发现该“Telegram”安装程序漏洞百出拼写为Teleram缺少 g且开发者签名为NfHRRPGENKQJ而非官方的Telegram FZ-LLC。Windows 事件日志捕捉到的异常安装记录由于签名及包名低级错误导致的异常标识在安装过程中样本释放了一个名为OTGContainer.exe的关键组件。该程序伪装成“微软视窗图像升级助手”实则具备持久化特征。系统日志追踪到 OTGContainer.exe 的释放行为可疑组件 OTGContainer.exe 被定位我们通过 PowerShell 脚本对系统服务进行异常筛查重点扫描位于AppData等非系统目录下的自启动服务。# 筛选路径异常的系统服务 Get-WmiObject Win32_Service | Where-Object { $_.PathName -match ProgramData|AppData|Temp } | Select-Object Name, DisplayName, PathName, State通过脚本筛选出路径异常的服务 Zowie951d475sbs经查该服务指向的正是OTGContainer.exe。尽管沙箱对该单个白文件未报错但结合其所处环境基本判定其为“白加黑”中的“白载体”。微步云沙箱运行结果二、 恶意程序逆向分析2.1 文件信息梳理组件角色文件名功能描述MD5 指纹白载体OTGContainer.exe正常签名程序用于加载恶意 DLLdd9c53633660213eb7d8cca3c2add9bb恶意 DLLlibcurl.dll劫持核心负责解密并注入 Shellcode6d0129128c6ee34a66a56afbb2a45bc7注入器FFLOADER.exe最终实现对 tracerpt.exe 的注入a0fd0e9190330729f5896b3900d2250b加密 Payloadrbg存放加密后的恶意 Shellcode 数据31f731866d1e6244bfc64daab4f89491恶意程序攻击流程图2.2 逆向过程还原1. OTGContainer.exe静态分析与加载逻辑OTGContainer.exe是一个拥有合法数字签名的白程序。通过对该程序的导入表进行静态分析发现其在启动过程中会静态加载同目录下的libcurl.dll。这是一种典型的DLL 劫持DLL Hijacking技术手段。OTGContainer.exe(正常签名程序)在调试环境中可以清晰观测到该白程序启动后立即加载了位于非系统目录下的恶意 DLL 模块。WOW64 processhasbeendetected(pid4224) 8C0000:processC:\Users\Admin\Desktop\VGX\OTGContainer.exehasstarted(pid4224) 77310000:loadedC:\Windows\SysWOW64\ntdll.dll 77300000:loadedC:\Windows\System32\wow64cpu.dll 759C0000:loadedC:\Windows\SysWOW64\KERNEL32.DLL 75AB0000:loadedC:\Windows\SysWOW64\KERNELBASE.dll 77160000:loadedC:\Windows\SysWOW64\USER32.dll 75E10000:loadedC:\Windows\SysWOW64\win32u.dll 75D00000:loadedC:\Windows\SysWOW64\GDI32.dll 76550000:loadedC:\Windows\SysWOW64\gdi32full.dll 76880000:loadedC:\Windows\SysWOW64\msvcp_win.dll 75230000:loadedC:\Windows\SysWOW64\ucrtbase.dll 75180000:loadedC:\Windows\SysWOW64\ADVAPI32.dll 77040000:loadedC:\Windows\SysWOW64\msvcrt.dll 77345A30:threadhasstarted(tid2496) 749E0000:loadedC:\Users\Admin\Desktop\VGX\libcurl.dll 73FF0000:loadedC:\Windows\SysWOW64\MFPlat.DLL 16C0000:loadedC:\Windows\SysWOW64\sechost.dll UnloadedC:\Windows\SysWOW64\sechost.dll 75F10000:loadedC:\Windows\SysWOW64\cfgmgr32.dll 75930000:loadedC:\Windows\SysWOW64\shcore.dll 753C0000:loadedC:\Windows\SysWOW64\combase.dll 75F50000:loadedC:\Windows\SysWOW64\RPCRT4.dll 74950000:loadedC:\Windows\SysWOW64\MF.dll 74920000:loadedC:\Users\Admin\Desktop\VGX\bfcipc.dll 745F0000:loadedC:\Windows\SysWOW64\MFReadWrite.dll 748F0000:loadedC:\Windows\SysWOW64\dwmapi.dll 77345A30:threadhasstarted(tid8080) 74480000:loadedC:\Windows\SysWOW64\WINSPOOL.DRV 745E0000:loadedC:\Windows\SysWOW64\MSIMG32.dll 76450000:loadedC:\Windows\SysWOW64\sechost.dll 75200000:loadedC:\Windows\SysWOW64\bcrypt.dll 76A60000:loadedC:\Windows\SysWOW64\SHELL32.dll 73DE0000:loadedC:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.19041.5915_none_a861f0a88675f0cd\COMCTL32.dll 76640000:loadedC:\Windows\SysWOW64\SHLWAPI.dll 756D0000:loadedC:\Windows\SysWOW64\ole32.dll 74400000:loadedC:\Windows\SysWOW64\UxTheme.dll 76690000:loadedC:\Windows\SysWOW64\OLEAUT32.dll 73C70000:loadedC:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.19041.5915_none_d94ce38de1086a9b\gdiplus.dll 75DE0000:loadedC:\Windows\SysWOW64\IMM32.dll 745B0000:loadedC:\Windows\SysWOW64\oledlg.dll 73810000:loadedC:\Windows\SysWOW64\WININET.dll 743D0000:loadedC:\Windows\SysWOW64\WINMM.dll 73660000:loadedC:\Windows\SysWOW64\dbghelp.dll 73620000:loadedC:\Windows\SysWOW64\IPHLPAPI.DLL 73550000:loadedC:\Windows\SysWOW64\dxgi.dll 748C0000:loadedC:\Windows\SysWOW64\VERSION.dll 734F0000:loadedC:\Windows\SysWOW64\OLEACC.dll 748B0000:loadedC:\Windows\SysWOW64\WTSAPI32.dll 73190000:loadedC:\Windows\SysWOW64\MFCORE.DLL 76960000:loadedC:\Windows\SysWOW64\CRYPT32.dll 73140000:loadedC:\Windows\SysWOW64\powrprof.dll 743C0000:loadedC:\Windows\SysWOW64\ksuser.dll 746B0000:loadedC:\Windows\SysWOW64\kernel.appcore.dll 73030000:loadedC:\Windows\SysWOW64\mfperfhelper.dll 73000000:loadedC:\Windows\SysWOW64\dbgcore.DLL 74A20000:loadedC:\Windows\SysWOW64\CRYPTBASE.DLL 76730000:loadedC:\Windows\SysWOW64\bcryptPrimitives.dll 72FD0000:loadedC:\Windows\SysWOW64\RTWorkQ.DLL 743B0000:loadedC:\Windows\SysWOW64\UMPDC.dll PDBSRC:loadingsymbolsforC:\Users\Admin\Desktop\VGX\OTGContainer.exe...此外该程序具备特定的环境检测功能它会主动检索当前路径下是否存在ffloader.exe。若检测命中则会调用内部函数Sub_486850功能定义为LaunchFFLOADER。经逆向确认该函数通过调用 Windows 标准 APIShellExecuteExW来拉起注入程序且整个过程未触发 UAC 提权隐蔽性极强。逆向分析 Sub_486850 函数调用 ShellExecuteExW 的逻辑实现2. libcurl.dll 入口点DllMain深度解析对劫持 DLLlibcurl.dll的入口点进行动态调试。分析发现其核心恶意行为在于读取同目录下的加密数据文件rbg。构造新的可执行文件路径恶意代码加载rbg后会执行一段自定义的解密算法并将解密后的原始 Shellcode 数据流重定向写入到FFLOADER.exe进程空间中。对目标文件进行读取、处理并多次计算摘要解密后的 Payload 数据被准备写入 FFLOADER.exe3. FFLOADER.exe 注入行为分析通过现场取证分析发现该样本在执行过程中存在自毁或损坏迹象。解密出的 Payload 结果中仅起始位置的0x1000字节为有效指令代码其后半部分已全部被0x00填充。由于核心 Payload 数据的缺失导致后续的完整功能逆向受阻这也侧面反映了该银狐变种可能具备一定的反分析机制。样本执行过程存在损坏迹象2.3 收尾排查全路径证据链闭环基于上述逆向结论我们对系统进行了最终的复核排查。整条攻击链路已清晰浮现1. 持久化层恶意服务Zowieg951d475sbs确保OTGContainer.exe开机自启。2. 执行层OTGContainer.exe通过 DLL 劫持释放并拉起ffloader.exe。3. 注入层ffloader.exe最终将恶意 Shellcode 注入到系统合规程序tracerpt.exe中外联 IP47.243.84.182:1080。追踪发现在 2026 年 1 月 13 日 8:10 左右受害机器上被注入后的tracerpt.exe出现了多次异常启动记录这与前文提到的告警时间线完全吻合。系统日志显示受感染的 tracerpt.exe 在 13 日存在高频异常启动通过注册表分析我们定位到了拉起“微软视窗图像升级助手”的恶意服务配置项。注册表键值 HKLM\SYSTEM\CurrentControlSet\Services 下的恶意服务配置系统日志记录了恶意服务 Zowieg951d475sbs 的启动行为同时在OTGContainer.log本地日志中也成功提取到了该恶意组件运行时的各项行为轨迹。OTGContainer.log 内部记录的组件加载与执行轨迹三、 总结结合全量取证日志分析Solar 团队复盘了该次受害全过程 用户于 2026年1月9日在使用 Edge 浏览器期间被诱导下载了伪装成 Telegram 安装包的压缩文件。该样本利用“白加黑”架构绕过常规杀软监测通过多级释放与进程注入技术将恶意远控模块寄生在系统白进程tracerpt.exe中最终实现了长达数日的潜伏外联。四、 威胁处置建议1. 彻底清除服务项以管理员权限启动 CMD 或 PowerShell执行以下命令强制删除恶意驻留服务sc delete Zowieg951d475sbs2. 恶意文件深度清理重启计算机以断开现有的内存注入连接随后手动删除以下受污染路径C:\Users\XXX\AppData\Roaming\A8BB951EEB9A4CBBB612E19E9E3A5702\VGX3. 行为监测与复核利用网络工具确认是否仍存在 1080 端口的外联netstat -ano | findstr 47.243.84.182:1080再次核查服务状态确保清除彻底sc qc Zowieg951d475sbs五、 附录IOC 威胁情报指纹目标名称MD5SHA256OTGContainer.exedd9c53633660213eb7d8cca3c2add9bb7f3711bf1fa9a0917c0932a21305ce90fcca8c9ebd98a496ac7a35ba197e7495tracerpt.exe.dll46475782db21f886ef941b1dc01cbf16506c7692c71856cbc7cc17091e117b0c45da0d44c84c456b9494ca81b877ba71libcurl.dll6d0129128c6ee34a66a56afbb2a45bc70a68181a1419c444cae3f76f474472c0397782b02e4c4bd8d56dcf5626e4526cFFLOADER.exea0fd0e9190330729f5896b3900d2250b12400581583a1faef1fbcf223775939cc468a1a27ea346261278cb14cfe40a15rbg (Payload)31f731866d1e6244bfc64daab4f894914eaedd9bc5de9c64b8a173c9093f7fa3d4d82e863f347d51314c8b8042cbbf40恶意 C2 IP:47.243.84.182