當心“銀狐”木馬病毒攻擊！陌生文件切勿隨意打開

近日，國家計算機病毒應急處理中心和計算機病毒防治技術國家工程實驗室依托國家計算機病毒協同分析平臺（https://virus.cverc.org.cn）捕獲多個文件名中包含“內部調查結果”“違紀名單”“違紀通報信息”“裁員補償”等詞匯的惡意程序，這些惡意程序表面上偽裝成快捷方式、文件夾、文檔文件或壓縮包文件，實際為針對Windows平臺用戶的遠程控制木馬病毒。經過分析，我們發現這些木馬病毒均為針對我國用戶的“銀狐”(又名“游蛇”“谷墮大盜”“UTG－Q－1000”“Silver Fox”等）木馬病毒攻擊活動的最新變種。如果用戶不慎運行相關惡意程序文件，將被攻擊者實施遠程控制、竊密等惡意操作，并可能被網絡犯罪分子利用充當進一步實施電信網絡詐騙活動的“跳板”。

圖1 攻擊活動過程示意圖

病毒特征

1. 文件名特征

本次發現的木馬病毒新變種繼續采用釣魚欺詐手段，大量采用人事業務相關的誘導性文件名，文件名以“XX季度違紀名單”“通報人員信息”“裁員名單”“補償方案”等為主，并將圖標偽裝成文件夾、快捷方式、回收站等，并添加“pdf”后綴迷惑用戶。如圖2所示。

圖2 相關病毒樣本

2. 文件操作特征

木馬病毒運行后，會在“C:Program FilesInternet Explorer”文件夾下投放下一步所需的載荷文件。其中關鍵文件log.dll為下一步運行的加載器，該dll文件通過白文件installer.exe進行加載，如圖3所示。

圖3 投放下一階段惡意載荷

3. 網絡通信特征

本次發現的病毒樣本具有相似的網絡通信特征，回聯地址URL特征如下所示：

http://[域名]:8880/

http://[域名]:8880/getinstall64

單位網絡安全管理員可通過附錄獲取更多相關特征，并可通過國家計算機病毒協同分析平臺（https://virus.cverc.org.cn）查詢相關病毒樣本的詳細信息。

防范措施

“銀狐”系列木馬病毒攻擊活動與電信網絡詐騙活動聯系密切，長期將我國用戶作為攻擊目標，具有變種速度快、隱蔽性強等特點。本次發現的病毒木馬攻擊活動的攻擊目標較為廣泛，重點針對具有一定規模的組織機構工作人員，特別是人事相關業務工作人員，主要目的仍然是通過木馬病毒控制大量受害者主機，竊取受害企業敏感數據和公民個人信息，進而實施勒索或欺詐。建議采取以下綜合防范措施：

1、在使用即時通訊工具（如：微信、QQ、釘釘、飛書等）或電子郵件處理工作事務期間，警惕新增臨時工作群組和電子郵件中傳播的“違紀”“裁員”等相關主題文件，拒絕點擊陌生人發送的文件，對本單位或外單位同事發送的相關文件應與其本人或正式渠道核實。

2、用戶可將可疑的文檔文件、可執行文件、壓縮包文件或解壓后的可疑文件先行上傳至國家計算機病毒協同分析平臺（https://virus.cverc.org.cn）進行安全檢測，并保持防病毒軟件實時監控功能開啟，將計算機操作系統和防病毒軟件更新到最新版本。

3、一旦發現本人即時通訊工具或電子郵件發生被盜用現象，應立即停止使用可能感染病毒的計算機設備，將其斷開網絡鏈接，并向單位網絡管理員、相關同事和親友告知相關情況，在備份重要數據的前提下，對相關計算機設備進行殺毒和安全檢查，更換常用口令且應具有較高強度。

來源：國家計算機病毒應急處理中心微信公眾號

責任編輯：王海山