东莞阳光网 2026-05-21 17:01
各位打工人注意!
重要提醒!
今天(5月21日)
国家计算机病毒应急处理中心发布
《关于针对我国用户的
“银狐”系列木马病毒
攻击活动的预警报告》
详情如下
基本情况
据介绍,这些恶意程序表面上伪装成快捷方式、文件夹、文档文件或压缩包文件,实际为针对Windows平台用户的远程控制木马病毒。经分析,发现这些木马病毒均为针对我国用户的“银狐”(又名“游蛇”“谷堕大盗”“UTG-Q-1000”“Silver Fox”等)木马病毒攻击活动的最新变种。如果用户不慎运行相关恶意程序文件,将被攻击者实施远程控制、窃密等恶意操作,并可能被网络犯罪分子利用充当进一步实施电信网络诈骗活动的“跳板”。
攻击活动过程示意图
病毒特征
1. 文件名特征
本次发现的木马病毒新变种继续采用钓鱼欺诈手段,大量采用人事业务相关的诱导性文件名,文件名以“XX季度违纪名单”“通报人员信息”“裁员名单”“补偿方案”等为主,并将图标伪装成文件夹、快捷方式、回收站等,并添加“pdf”后缀迷惑用户。
相关病毒样本
2. 文件操作特征
木马病毒运行后,会在“C:\Program Files\Internet Explorer\”文件夹下投放下一步所需的载荷文件。其中关键文件log.dll为下一步运行的加载器,该dll文件通过白文件installer.exe进行加载,如图3所示。
投放下一阶段恶意载荷
3. 网络通信特征
本次发现的病毒样本具有相似的网络通信特征,回联地址URL特征如下所示:
http://[域名]:8880/
http://[域名]:8880/getinstall64
防范措施
1、在使用即时通讯工具(如:微信、QQ、钉钉、飞书等)或电子邮件处理工作事务期间,警惕新增临时工作群组和电子邮件中传播的“违纪”“裁员”等相关主题文件,拒绝点击陌生人发送的文件,对本单位或外单位同事发送的相关文件应与其本人或正式渠道核实。
2、用户可将可疑的文档文件、可执行文件、压缩包文件或解压后的可疑文件先行上传至进行安全检测。
3、一旦发现本人即时通讯工具或电子邮件发生被盗用现象,应立即停止使用可能感染病毒的计算机设备,将其断开网络链接,并上报相关情况,及时进行杀毒和安全检查。
知多D
利用“银狐”木马病毒
实施诈骗的常见手法
通常分为以下四步:
1.精准投放:木马植入目标设备不法分子先利用伪装软件,将包装好的内含木马病毒程序,精准投放至相关行业的财务、管理等岗位的目标群体,进而实现对受害人设备的远程控制,特别是远程操控电脑中登录的聊天软件。
2.操控账号:群发钓鱼链接扩散通过远程控制被害人的软件账号,把被害人的账号作为“跳板”,群发送虚假链接,或群发虚假二维码,迅速扩大感染范围,实现高效传播。近段时间,一些诈骗分子更是衍生出利用官方的企业群和单位社交群发布虚假链接,让受害者防不胜防!
3.伪造官网:诱骗关键信息录入诱导被害人点击链接、或者扫描二维码进入伪造的“个人综合补贴”“绩效补贴”“严重违纪人员处分通报”等虚假网页,按照网页提示输入个人信息及银行卡号、手机验证码等个人隐私信息,达到窃取关键信息的目的。
4.闪电盗刷、异地消费实施诈骗:在被害人等待网页界面加载过程中,不法分子或立即进行异地或者境外消费,进而实现诈骗行为。
温馨提醒
一般来说,防范计算机病毒,要注意以下五个方面:
一、不轻信。不轻信来历不明的文件,且遇到可疑文件,务必第一时间跟公司或者单位负责人电话语音核实。
二、不点击。不点击来源不明的链接,不扫描来源不明的二维码,更不能在未经核实的情况下,轻易在网站上填写银行卡、身份证号码、短信验证码等敏感信息。
三、不下载。不下载和安装未经官方认证的软件,防止恶意代码入侵系统。特别是压缩包(.zip/.rar)和可执行文件(.exe/.dll)需高度警惕。
四、勤关机。办公电脑应设置不操作时自动锁屏,离开办公室时,应及时退出即时通信类软件客户端或关闭电脑运行,防止不法分子远程操控。
五、常杀毒。及时更新电脑操作系统、杀毒软件及防火墙至最新版本,定期全面开展木马病毒等恶意程序查杀,及时发现和排除风险隐患。
转发提醒身边的小伙伴!
来源|国家计算机病毒应急处理中心、增城公安
编辑|薛映亭
审核|陈芳、刘欢
终审|赖昆鹏、何春辉
- 关键词:木马病毒,国家计算机病毒,银狐,变种,官方,处理中心,被害人,网络通信,恶意程序, Silver Fox
