银狐木马病毒再添新变种！财税文件伪装升级，传播手法升级！

木马病毒升级变种！财税文件伪装更隐蔽，传播手法更狡猾！

智慧科技

　　 12月20日，国家计算机病毒应急处理中心表示，借助国家计算机病毒协同分析平台，在我国境内再度检测到针对我国用户的“银狐”（又称“游蛇”、“谷堕大盗”）木马病毒的新版本。

　　 近日，近期，国家计算机病毒应急处理中心与计算机病毒防治技术国家工程实验室联合发布报告称，在国家计算机病毒协同分析平台上再次捕获到针对中国用户的“银狐”木马病毒的新变种。此次传播中，攻击者依然采用伪造的财务或税务违规稽查通知作为诱饵，通过微信群传播包含该木马病毒的加密压缩包文件。 这一现象表明，“银狐”木马病毒不仅持续活跃，而且其攻击手段也愈发隐蔽和狡猾。攻击者利用社会工程学技巧，通过制造紧迫感和好奇心，诱导用户主动下载并执行恶意软件。这不仅凸显了网络安全防护的重要性，也提醒广大用户应提高警惕，避免点击来源不明的链接或附件。同时，企业和机构也需加强内部安全培训，提升员工识别和防范此类威胁的能力。此外，政府相关部门和网络安全企业应进一步加强合作，及时更新防御策略，以有效应对新型网络攻击。

　　 名为“笔记”等字样的收藏链接指向文件名为“违规-记录（1）.rar”的压缩包文件。用户根据钓鱼信息提供的解压密码解压该文件后，会发现名为“开票-目录.exe”、“违规-告示.exe”等可执行程序文件。这些可执行程序实际上是“银狐”远控木马家族在12月更新传播的最新变种。若用户运行这些恶意程序，将面临被攻击者进行远程控制和信息窃取的风险，并可能成为电信网络诈骗犯罪分子进一步作案的工具。

　　 此次发现的攻击者所使用的钓鱼信息依然以假冒官方通知为主。考虑到年底的特点，攻击者特意突出“12月”、“审查”、“违规”等关键词，以此让潜在受害者感到时间紧迫，从而降低防备。在发送钓鱼信息之后，攻击者会继续提供所谓的相关工作文件的钓鱼链接。

　　 文件名：针对新一批变种，犯罪分子依然将木马病毒程序的文件名伪装成与财税、金融管理等工作紧密相关的名称，以吸引相关岗位的工作人员点击下载运行，例如：“开票-清单”、“违规-日志”、“违规-通知”等。此次发现的新变种依旧仅针对安装了Windows操作系统的传统PC环境。犯罪分子还会在钓鱼信息中使用“请使用电脑版”等话术进行有针对性的诱导提示。

　　 文件格式：本次发现的新变种主要以RAR、ZIP等压缩格式（内含EXE可执行程序）的形式出现，与之前的变种不同，此次攻击者为这些压缩包设置了解压密码，并在钓鱼信息中明确告知，以此来规避社交媒体软件和部分安全软件的检测，从而增强其传播能力。

　　 文件 HASH：34101194d27df8bc823e339d590e18f2

　　 木马病毒一旦被安装并运行，将在操作系统中生成新的进程，该进程名称与病毒文件名一致，并会从远程服务器下载其他恶意代码直接在内存中加载和执行。

　　 回联地址为：156.***.***.90，端口号为：1217

　　 命令控制服务器（C2）域名为：mm7ja.*****. cn，端口号为：6666

　　 网络安全管理员可以根据这些特征配置防火墙策略，以拦截异常通信行为。在与C2服务器的通信过程中，攻击者会收集受害主机的操作系统信息、网络配置信息、USB设备信息、屏幕截图、键盘记录以及剪切板内容等敏感数据。 这种针对性的监控和防护措施对于保护企业内部系统的安全至关重要。通过识别并拦截与C2地址的通信，可以有效阻止攻击者获取关键数据，从而减少潜在的安全风险。然而，这也提示我们，随着技术的发展，攻击手段也在不断进化，因此，持续更新和优化防护策略将是未来网络安全管理的重要方向。

　　 本次发现的新变种还具有主动攻击安全软件的功能，试图通过模拟用户鼠标键盘操作关闭防病毒软件。

　　 不要轻信微信群、QQ 群或其他社交媒体软件中传播的所谓政府机关和公共管理机构发布的通知及相关工作文件和官方程序（或相应下载链接），应通过官方渠道进行核实。

　　 带密码的加密压缩包并不代表内容安全，针对类似此次传播的“银狐”木马病毒加密压缩包文件的新特点，用户可将解压后的可疑文件先行上传至国家计算机病毒协同分析平台进行安全性检测，并保持防病毒软件实时监控功能开启，将电脑操作系统和防病毒软件更新到最新版本。

　　 一旦发现电脑操作系统的安全功能及防病毒软件在未授权的情况下被意外关闭，应立刻断开网络连接，及时转移并备份关键数据，并对相关设备采取停用措施。在完成系统重装或恢复、进行全面的安全检查及加固之前，不得重新启用这些设备。

　　 一旦发现微信、QQ或其他社交媒体软件发生被盗现象，建议立即通知亲友和所在单位的同事，告知相关情况。同时，应该尽快通过相对安全的设备和网络环境来修改登录密码。此外，还应对自己常用的计算机和移动通信设备进行全面的杀毒和安全检查。如果账号反复被盗，应在备份重要数据的基础上，考虑重新安装操作系统和防病毒软件，并确保使用的是最新版本。这样不仅能有效防止进一步的信息泄露，还能提高个人账户的安全性。 从当前网络安全形势来看，社交媒体账号被盗的现象屡见不鲜，这不仅给个人生活带来不便，更可能对工作和个人声誉造成严重影响。因此，加强自我保护意识，定期检查和更新自己的安全设置显得尤为重要。同时，各大社交媒体平台也应加强自身的安全防护措施，为用户提供更加安全可靠的使用环境。

　　 相关阅读：

　　 《最新木马病毒“银狐”出现，通过微信群散播病毒下载链接》