當(dāng)心“銀狐”木馬出新變種陌生文件切勿隨意打開

2026-05-21 14:24:14 來源：中新網(wǎng) A+A-

中新網(wǎng)5月21日電據(jù)國家計(jì)算機(jī)病毒應(yīng)急處理中心微信公眾號消息，近日，國家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)病毒防治技術(shù)國家工程實(shí)驗(yàn)室依托國家計(jì)算機(jī)病毒協(xié)同分析平臺捕獲多個(gè)文件名中包含“內(nèi)部調(diào)查結(jié)果”“違紀(jì)名單”“違紀(jì)通報(bào)信息”“裁員補(bǔ)償”等詞匯的惡意程序，這些惡意程序表面上偽裝成快捷方式、文件夾、文檔文件或壓縮包文件，實(shí)際為針對Windows平臺用戶的遠(yuǎn)程控制木馬病毒。經(jīng)分析，發(fā)現(xiàn)這些木馬病毒均為針對我國用戶的“銀狐”(又名“游蛇”“谷墮大盜”“UTG-Q-1000”“Silver Fox”等)木馬病毒攻擊活動的最新變種。如果用戶不慎運(yùn)行相關(guān)惡意程序文件，將被攻擊者實(shí)施遠(yuǎn)程控制、竊密等惡意操作，并可能被網(wǎng)絡(luò)犯罪分子利用充當(dāng)進(jìn)一步實(shí)施電信網(wǎng)絡(luò)詐騙活動的“跳板”。

當(dāng)心“銀狐”木馬出新變種陌生文件切勿隨意打開攻擊活動過程示意圖。圖自國家計(jì)算機(jī)病毒應(yīng)急處理中心微信公眾號

病毒特征

1.文件名特征

本次發(fā)現(xiàn)的木馬病毒新變種繼續(xù)采用釣魚欺詐手段，大量采用人事業(yè)務(wù)相關(guān)的誘導(dǎo)性文件名，文件名以“XX季度違紀(jì)名單”“通報(bào)人員信息”“裁員名單”“補(bǔ)償方案”等為主，并將圖標(biāo)偽裝成文件夾、快捷方式、回收站等，并添加“pdf”后綴迷惑用戶。

當(dāng)心“銀狐”木馬出新變種陌生文件切勿隨意打開相關(guān)病毒樣本。圖自國家計(jì)算機(jī)病毒應(yīng)急處理中心微信公眾號

2.文件操作特征

木馬病毒運(yùn)行后，會在“C:Program FilesInternet Explorer”文件夾下投放下一步所需的載荷文件。其中關(guān)鍵文件log.dll為下一步運(yùn)行的加載器，該dll文件通過白文件installer.exe進(jìn)行加載。

當(dāng)心“銀狐”木馬出新變種陌生文件切勿隨意打開

投放下一階段惡意載荷。圖自國家計(jì)算機(jī)病毒應(yīng)急處理中心微信公眾號

3.網(wǎng)絡(luò)通信特征

本次發(fā)現(xiàn)的病毒樣本具有相似的網(wǎng)絡(luò)通信特征，回聯(lián)地址URL特征如下所示：

http://[域名]:8880/

http://[域名]:8880/getinstall64

單位網(wǎng)絡(luò)安全管理員可通過附錄獲取更多相關(guān)特征，并可通過國家計(jì)算機(jī)病毒協(xié)同分析平臺(https://virus.cverc.org.cn)查詢相關(guān)病毒樣本的詳細(xì)信息。

防范措施

“銀狐”系列木馬病毒攻擊活動與電信網(wǎng)絡(luò)詐騙活動聯(lián)系密切，長期將我國用戶作為攻擊目標(biāo)，具有變種速度快、隱蔽性強(qiáng)等特點(diǎn)。本次發(fā)現(xiàn)的病毒木馬攻擊活動的攻擊目標(biāo)較為廣泛，重點(diǎn)針對具有一定規(guī)模的組織機(jī)構(gòu)工作人員，特別是人事相關(guān)業(yè)務(wù)工作人員，主要目的仍然是通過木馬病毒控制大量受害者主機(jī)，竊取受害企業(yè)敏感數(shù)據(jù)和公民個(gè)人信息，進(jìn)而實(shí)施勒索或欺詐。建議采取以下綜合防范措施：

在使用即時(shí)通訊工具(如：微信、QQ、釘釘、飛書等)或電子郵件處理工作事務(wù)期間，警惕新增臨時(shí)工作群組和電子郵件中傳播的“違紀(jì)”“裁員”等相關(guān)主題文件，拒絕點(diǎn)擊陌生人發(fā)送的文件，對本單位或外單位同事發(fā)送的相關(guān)文件應(yīng)與其本人或正式渠道核實(shí)。

用戶可將可疑的文檔文件、可執(zhí)行文件、壓縮包文件或解壓后的可疑文件先行上傳至國家計(jì)算機(jī)病毒協(xié)同分析平臺(https://virus.cverc.org.cn)進(jìn)行安全檢測，并保持防病毒軟件實(shí)時(shí)監(jiān)控功能開啟，將計(jì)算機(jī)操作系統(tǒng)和防病毒軟件更新到最新版本。

一旦發(fā)現(xiàn)本人即時(shí)通訊工具或電子郵件發(fā)生被盜用現(xiàn)象，應(yīng)立即停止使用可能感染病毒的計(jì)算機(jī)設(shè)備，將其斷開網(wǎng)絡(luò)鏈接，并向單位網(wǎng)絡(luò)管理員、相關(guān)同事和親友告知相關(guān)情況，在備份重要數(shù)據(jù)的前提下，對相關(guān)計(jì)算機(jī)設(shè)備進(jìn)行殺毒和安全檢查，更換常用口令且應(yīng)具有較高強(qiáng)度。

(責(zé)任編輯：0072)