國家計算機病毒應(yīng)急處理中心近日發(fā)布預(yù)警通報，經(jīng)分析發(fā)現(xiàn)，專門針對我國用戶的“銀狐”木馬病毒出現(xiàn)最新變種。該病毒通過偽裝成“裁員補償”“違紀通報信息”等文件實施釣魚攻擊，一旦點擊，電腦將會被不法者遠程控制，進而被竊取敏感信息。

“銀狐”木馬病毒出現(xiàn)新變種

實施釣魚攻擊

根據(jù)通報，本次發(fā)現(xiàn)的木馬病毒新變種繼續(xù)采用釣魚欺詐手段，大量采用人事業(yè)務(wù)相關(guān)的誘導(dǎo)性文件名，文件名以“XX季度違紀名單”“裁員名單”“補償方案”等為主，還精心偽裝成文件夾、快捷方式、回收站等，或添加“pdf”文件名的偽裝后綴，極具迷惑性。

國家計算機病毒應(yīng)急處理中心高級工程師杜振華：

用戶看到之后，第一反應(yīng)可能就是要點開看一看。攻擊者會把這個可執(zhí)行文件的圖標改成像文件夾、壓縮包的圖標，有一些直接偽裝成文檔，甚至是回收站。這些都會給被攻擊者一個錯覺，就是可以點進去看或是點擊打開，這就是攻擊者設(shè)計攻擊邏輯的基本思路。

據(jù)網(wǎng)絡(luò)安全專家介紹，該病毒一旦被激活運行后，會在后臺靜默植入遠程控制程序，攻擊者不僅能竊取用戶敏感數(shù)據(jù)和公民個人信息，甚至可能將受害者的電腦作為“跳板”，進一步對其實施精準的電信網(wǎng)絡(luò)詐騙。

國家計算機病毒應(yīng)急處理中心高級工程師杜振華：

在做惡意操作的時候，用戶無法察覺。更多的時候是用戶的親屬或同事會反過來問用戶，為什么收到用戶發(fā)的所謂的文件或鏈接，點進去后發(fā)現(xiàn)什么也沒打開，或者打開的東西明顯是不太正常。這個時候用戶首先必須做的就是對計算機設(shè)備進行病毒查殺，然后進行恢復(fù)。

隱蔽性強、攻擊手法升級

如何防范？

據(jù)國家計算機病毒應(yīng)急處理中心通報，“銀狐”系列木馬病毒攻擊活動與電信網(wǎng)絡(luò)詐騙活動密切關(guān)聯(lián)，長期將我國用戶作為攻擊目標，具有變種速度快、隱蔽性強等特點。我們該如何防范？專家進行了介紹。

據(jù)網(wǎng)絡(luò)安全專家介紹，此次發(fā)現(xiàn)的“銀狐”木馬病毒攻擊目標非常廣泛，重點針對具有一定規(guī)模的組織機構(gòu)工作人員，特別是人事相關(guān)業(yè)務(wù)工作人員，主要目的是通過木馬病毒控制大量受害者主機，竊取受害企業(yè)敏感數(shù)據(jù)和公民個人信息，進而實施勒索或欺詐。

奇安信集團安全專家梁圣：

攻擊者會混入QQ、微信、飛書、釘釘?shù)囊恍┕ぷ魅海蛘呤切袠I(yè)交流群里，然后發(fā)布一些惡意文件或者下載鏈接，或者是通過釣魚郵件，偽裝成裁員名單、福利通知之類的文件，讓企業(yè)內(nèi)部的員工下載這種惡意文件。

國家計算機病毒應(yīng)急處理中心高級工程師杜振華：

長期潛伏滲透，他最終的目的是進入單位的核心業(yè)務(wù)部門，比如財務(wù)部門、生產(chǎn)部門或者技術(shù)部門，甚至是高層領(lǐng)導(dǎo)。一旦成功，犯罪分子就可以在單位的內(nèi)部發(fā)起所謂的虛假轉(zhuǎn)賬業(yè)務(wù)，或者篡改轉(zhuǎn)賬業(yè)務(wù)里的收款人。

據(jù)網(wǎng)絡(luò)安全專家介紹，該病毒變種速度快、隱蔽性強。為此，建議相關(guān)部門、企事業(yè)單位應(yīng)立即加強內(nèi)部安全培訓(xùn)，并建議采取以下綜合防范措施：

在使用即時通信工具或電子郵件處理工作事務(wù)期間，警惕新增臨時工作群組和電子郵件中傳播的“違紀”“裁員”等相關(guān)主題文件，拒絕點擊陌生人發(fā)送的文件，對本單位或外單位同事發(fā)送的相關(guān)文件應(yīng)與其本人或正式渠道核實；

用戶可將可疑的文檔文件、可執(zhí)行文件、壓縮包文件或解壓后的可疑文件先行上傳至國家計算機病毒協(xié)同分析平臺（https://virus.cverc.org.cn）進行安全檢測，并保持防病毒軟件實時監(jiān)控功能開啟，將計算機操作系統(tǒng)和防病毒軟件更新到最新版本；

一旦發(fā)現(xiàn)本人即時通信工具或電子郵件發(fā)生被盜用現(xiàn)象，應(yīng)立即停止使用可能感染病毒的計算機設(shè)備，將其斷開網(wǎng)絡(luò)連接，并向單位網(wǎng)絡(luò)管理員、相關(guān)同事和親友告知相關(guān)情況，在備份重要數(shù)據(jù)的前提下，對相關(guān)計算機設(shè)備進行殺毒和安全檢查，更換常用口令且應(yīng)具有較高強度。

什么是“銀狐”木馬病毒？

近年來，“銀狐”木馬病毒在網(wǎng)絡(luò)空間持續(xù)活躍，變種層出不窮、攻擊頻次居高不下，對我國個人信息安全和政企網(wǎng)絡(luò)安全造成極大危害。

據(jù)網(wǎng)絡(luò)安全專家介紹，“銀狐”木馬病毒是一款活躍多年、專門以我國網(wǎng)絡(luò)用戶為主要攻擊目標的遠程控制類惡意木馬程序。該木馬病毒始終處于持續(xù)迭代更新狀態(tài)，常年潛伏在日常辦公、社交通信、郵件傳輸?shù)染W(wǎng)絡(luò)場景中，伺機發(fā)起攻擊。

奇安信集團安全專家梁圣：

該木馬病毒是遠控的邏輯，攻擊者可以拿到受害者的完整的電腦權(quán)限，所以它的竊密能力非常強，

它可以把電腦里面所有的信息都竊走

。攻擊者可以操作受害者的即時通信工具或郵件客戶端，借此聯(lián)系公司內(nèi)部的財務(wù)、法務(wù)、出納等，對他們進行詐騙，或者對受害者朋友圈里的人進行詐騙。

據(jù)網(wǎng)絡(luò)安全專家介紹，“銀狐”木馬病毒從誕生之初就帶有明確的非法牟利目的，它不屬于單一固定病毒，而是一整套惡意攻擊程序家族，目前已經(jīng)形成一條完整的黑色產(chǎn)業(yè)鏈。

奇安信集團安全專家梁圣：

對寫這種銀狐木馬的人的技術(shù)要求是比較高的，下游專門做遠控操作、竊密、詐騙等角色，甚至后面還有一些專門在黑市里販賣用戶信息的。還有一些詐騙園區(qū)（團伙）用已被攻陷的電腦，通過被攻擊者的一些社交軟件進行詐騙，這就是一個完整的黑色產(chǎn)業(yè)鏈。