当心中招！“【银狐】”木马出新变种陌生[文件]《切勿》随意打开

今天（5 月 21 日），国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台，捕获多款以 " 内部调查结果 "" 违纪名单 "" 裁员补偿 " 等为文件名的恶意程序，这类程序伪装成各类常用文件，实为针对 Windows 用户的远程控制木马，均是针对我国用户的 " 银狐 " 木马最新变种。用户一旦不慎点开运行，设备便会遭不法分子远程操控、信息被窃取，还极易被不法分子当作实施电信网络诈骗的作案跳板。

△攻击活动过程示意图

病毒特征

1 文件名特征

本次发现的木马病毒新变种继续采用钓鱼欺诈手段，大量采用人事业务相关的诱导性文件名，文件名以 "XX 季度违纪名单 "" 通报人员信息 "" 裁员名单 "" 补偿方案 " 等为主，并将图标伪装成文件夹、快捷方式、回收站等，并添加 "pdf" 后缀迷惑用户。

△相关病毒样本

2 文件操作特征

木马病毒运行后，会在 "C:Program FilesInternet Explorer" 文件夹下投放下一步所需的载荷文件。其中关键文件 log.dll 为下一步运行的加载器，该 dll 文件通过白文件 installer.exe 进行加载。

3 网络通信特征

本次发现的病毒样本具有相似的网络通信特征，回联地址 URL 特征如下所示：

http:// [ 域名 ] :8880/

http:// [ 域名 ] :8880/getinstall64

单位网络安全管理员可通过附录获取更多相关特征，并可通过国家计算机病毒协同分析平台（https://virus.cverc.org.cn）查询相关病毒样本的详细信息。

防范措施

" 银狐 " 系列木马病毒攻击活动与电信网络诈骗活动联系密切，长期将我国用户作为攻击目标，具有变种速度快、隐蔽性强等特点。本次发现的病毒木马攻击活动的攻击目标较为广泛，重点针对具有一定规模的组织机构工作人员，特别是人事相关业务工作人员，主要目的仍然是通过木马病毒控制大量受害者主机，窃取受害企业敏感数据和公民个人信息，进而实施勒索或欺诈。建议采取以下综合防范措施：

在使用即时通信工具或电子邮件处理工作事务期间，警惕新增临时工作群组和电子邮件中传播的 " 违纪 "" 裁员 " 等相关主题文件，拒绝点击陌生人发送的文件，对本单位或外单位同事发送的相关文件应与其本人或正式渠道核实。

用户可将可疑的文档文件、可执行文件、压缩包文件或解压后的可疑文件先行上传至国家计算机病毒协同分析平台（https://virus.cverc.org.cn）进行安全检测，并保持防病毒软件实时监控功能开启，将计算机操作系统和防病毒软件更新到最新版本。

一旦发现本人即时通信工具或电子邮件发生被盗用现象，应立即停止使用可能感染病毒的计算机设备，将其断开网络连接，并向单位网络管理员、相关同事和亲友告知相关情况，在备份重要数据的前提下，对相关计算机设备进行杀毒和安全检查，更换常用口令且应具有较高强度。

（总台记者 陈庆滨 姜晓雪）