近日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室捕獲了多個(gè)偽裝成“內(nèi)部調(diào)查結(jié)果”、“違紀(jì)名單”、“違紀(jì)通報(bào)信息”、“裁員補(bǔ)償”等詞匯的惡意程序。這些程序?qū)嶋H上針對(duì)Windows平臺(tái)用戶的遠(yuǎn)程控制木馬病毒，是“銀狐”（又名“游蛇”、“谷墮大盜”、“UTG－Q－1000”、“Silver Fox”）木馬病毒攻擊活動(dòng)的最新變種。用戶不慎運(yùn)行這些惡意程序后，攻擊者可以實(shí)施遠(yuǎn)程控制、竊密等操作，并可能利用受害者的設(shè)備進(jìn)一步進(jìn)行電信網(wǎng)絡(luò)詐騙。

新發(fā)現(xiàn)的木馬病毒繼續(xù)采用釣魚欺詐手段，大量使用與人事業(yè)務(wù)相關(guān)的誘導(dǎo)性文件名，如“XX季度違紀(jì)名單”、“通報(bào)人員信息”、“裁員名單”、“補(bǔ)償方案”等。這些文件圖標(biāo)被偽裝成文件夾、快捷方式或回收站，并添加“pdf”后綴以迷惑用戶。木馬病毒運(yùn)行后，會(huì)在特定文件夾下投放下一步所需的載荷文件，其中關(guān)鍵文件log.dll為下一步運(yùn)行的加載器，通過白文件installer.exe進(jìn)行加載。此外，這些病毒樣本具有相似的網(wǎng)絡(luò)通信特征，回聯(lián)地址URL包括http://[域名]:8880/ 和 http://[域名]:8880/getinstall64。網(wǎng)絡(luò)安全管理員可通過國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)查詢更多相關(guān)特征和詳細(xì)信息。

“銀狐”系列木馬病毒攻擊活動(dòng)長(zhǎng)期將我國(guó)用戶作為目標(biāo)，具有變種速度快、隱蔽性強(qiáng)的特點(diǎn)。本次攻擊活動(dòng)主要針對(duì)具有一定規(guī)模的組織機(jī)構(gòu)工作人員，特別是人事相關(guān)業(yè)務(wù)工作人員，目的是通過木馬病毒控制大量受害者主機(jī)，竊取敏感數(shù)據(jù)和個(gè)人信息，進(jìn)而實(shí)施勒索或欺詐。建議采取以下防范措施：

在使用即時(shí)通訊工具或電子郵件處理工作事務(wù)期間，警惕新增臨時(shí)工作群組和電子郵件中傳播的“違紀(jì)”、“裁員”等相關(guān)主題文件，拒絕點(diǎn)擊陌生人發(fā)送的文件，對(duì)本單位或外單位同事發(fā)送的相關(guān)文件應(yīng)與其本人或正式渠道核實(shí)。用戶可將可疑文件上傳至國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)進(jìn)行安全檢測(cè)，并保持防病毒軟件實(shí)時(shí)監(jiān)控功能開啟，及時(shí)更新操作系統(tǒng)和防病毒軟件到最新版本。如果發(fā)現(xiàn)即時(shí)通訊工具或電子郵件被盜用，應(yīng)立即停止使用可能感染病毒的計(jì)算機(jī)設(shè)備，斷開網(wǎng)絡(luò)鏈接，向單位網(wǎng)絡(luò)管理員及相關(guān)人員告知情況，在備份重要數(shù)據(jù)的前提下，對(duì)相關(guān)設(shè)備進(jìn)行殺毒和安全檢查，并更換高強(qiáng)度口令。