近期，火绒威胁情报中心监测到一款伪装成MSI安装包的恶意木马正在传播。火绒安全工程师迅速提取样本进行分析，发现该木马在双击执行后会启动数个cmd进程执行释放的恶意组件，不断从远端服务器上下载后续阶段所需的恶意组件，并在多层文件跳转和解密后生成远控模块实现对受害者机器的完全控制。经溯源对比，确认其为“银狐”系列变种木马。目前，火绒安全产品已可对该病毒进行拦截查杀，建议用户及时更新病毒库以提高防御能力。

火绒工程师提醒广大用户，对来历不明的文件应保持警惕，同时安装可靠的安全软件保护设备免受恶意软件和病毒的侵害。火绒6.0已上线公测，针对用户的真实应用环境，升级反病毒引擎等核心技术，推出9大硬核功能，可有效解决无文件攻击、系统进程保护、流氓软件等诸多安全问题，为“杀、防、管、控”增强壁垒。

一、样本分析 第一阶段： 通过Orca查看Win-PC_Install.uu92.11.msi文件内信息，在FileTable中可以查看.cab包含的文件，是一个名称为"1"的文件，从字节码可以看出该文件为少了"MZ"头的PE文件。

第二阶段： 进入tttss1.exe中分析，其最初先通过不断跳转和耗时循环干扰分析，随后把要执行的代码全部复制到新开辟的空间中跳转执行。再通过2次SMC解密出关键操作代码。在操作代码过程中，解密出的操作代码会先解密出配置文件c.dat的url用于下载，接着会进行解密操作，最后根据文件开头字节内容是否为"9a8"区分Payload类型。

第三阶段： 执行的eufRk5.exe是一个加载程序，其主要作用就是通过加载同目录下的mscoree.dll，获取并执行其唯一的导出函数CLRCreateInstance。该函数在读取并定位eufRk5.exe中的加密数据后，将加密数据解密成shellcode以供执行。

第四阶段： 解密的shellcode会读取同目录下的ffff.pol文件，并解密ffff.pol文件头为dll，用于内存加载执行。ffff.pol解密而成的dll并没有导出函数，该dll主要操作都在DllMain函数中，创建的互斥体用于检测其他实例是否在运行。其中，开启的线程会执行包括关闭UAC和检测360等在内的操作。接着ffff.pol解密而成的dll还会把自身目录下的文件重新复制一份到"C:\Users\Public\Videos"目录下新建立的随机文件夹中，用以创建计划任务。最后，由ffff.pol解密而成的dll会打开同目录下的ffff.lop文件，继续将ffff.lop解密成dll，并执行唯一的导出函数Edge。

二、附录 C&C： HASH：

来源：新澳利澳门开奖历史结果，全面解析说明揭秘：“成熟后门”再度投递，银狐变种利用MSI实行远控。

请注意，以上内容是对一个恶意软件的详细分析和说明，旨在提醒用户警惕并采取相应的防范措施。如果您遇到类似情况，请及时更新您的安全软件，并避免下载和安装不明来源的软件或文件，以保护您的设备免受恶意软件和病毒的侵害。