警惕｜“银狐”木马病毒再次出现新变种并更新传播手法

科技 2024-12-20 17:07 北京

一、相关病毒传播案例

近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台（https://virus.cverc.org.cn）在我国境内再次捕获发现针对我国用户的“银狐”木马病毒的最新变种。在本次传播过程中，攻击者继续通过构造财务、税务违规稽查通知等主题的钓鱼信息和收藏链接，通过微信群直接传播包含该木马病毒的加密压缩包文件，如图1所示。

图1 钓鱼信息及压缩包文件

图1中名为“笔记”等字样的收藏链接指向文件名为“违规-记录（1）.rar”等压缩包文件，用户按照钓鱼信息给出的解压密码解压压缩包文件后，会看到以“开票-目录.exe”、“违规-告示.exe”等命名的可执行程序文件，这些可执行程序实际为“银狐”远控木马家族于12月更新传播的最新变种程序。如果用户运行相关恶意程序文件，将被攻击者实施远程控制、窃密等恶意操作，并可能被犯罪分子利用充当进一步实施电信网络诈骗活动的“跳板”。

二、病毒感染特征

1. 钓鱼信息特征

本次发现攻击者使用的钓鱼信息仍然以伪造官方通知为主。结合年末特点，攻击者刻意强调“12月”、“稽查”、“违规”等关键词，借此使潜在受害者增加紧迫感从而放松警惕。在钓鱼信息之后，攻击者继续发送附带所谓的相关工作文件的钓鱼链接。

2. 文件特征

1）文件名

对于本次发现的新一批变种，犯罪分子继续将木马病毒程序的文件名设置为与财税、金融管理等相关工作具有密切联系的名称，以引诱相关岗位工作人员点击下载运行，如：“开票-目录”、“违规-记录”、“违规-告示”等。此次发现的新变种仍然只针对安装Windows操作系统的传统PC环境，犯罪分子也会在钓鱼信息中使用“请使用电脑版”等话术进行有针对性的诱导提示。

2）文件格式

本次发现的新变种以RAR、ZIP等压缩格式（内含EXE可执行程序）为主，与之前变种不同的是，此次攻击者为压缩包设置了解压密码，并在钓鱼信息中进行提示告知，以逃避社交媒体软件和部分安全软件的检测，使其具有更强的传播能力。

3）文件HASH

34101194d27df8bc823e339d590e18f2

网络安全管理员可通过国家计算机病毒协同分析平台（https://virus.cverc.org.cn）获得相关病毒样本的详细信息，如下：

https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=34101194d27df8bc823e339d590e18f2

3.进程特征

木马病毒被安装运行后，会在操作系统中创建新进程，进程名与文件名相同，并从回联服务器下载其他恶意代码直接在内存中加载执行。

4.网络通信特征

回联地址为：156.***.***.90，端口号为：1217

命令控制服务器（C2）域名为：mm7ja.*****. cn，端口号为：6666

网络安全管理员可根据上述特征配置防火墙策略，对异常通信行为进行拦截。其中与C2地址的通信过程中，攻击者会收集受害主机的操作系统信息、网络配置信息、USB设备信息、屏幕截图、键盘记录、剪切板内容等敏感数据。

5.其他特征

本次发现的新变种还具有主动攻击安全软件的功能，试图通过模拟用户鼠标键盘操作关闭防病毒软件。

三、防范措施

临近年末，国家计算机病毒应急处理中心再次提示广大企事业单位和个人网络用户提高针对各类电信网络诈骗活动的警惕性和防范意识，不要轻易被犯罪分子的钓鱼话术所诱导。结合本次发现的银狐木马病毒新变种传播活动的相关特点，建议广大用户采取以下防范措施：

1.不要轻信微信群、QQ群或其他社交媒体软件中传播的所谓政府机关和公共管理机构发布的通知及相关工作文件和官方程序（或相应下载链接），应通过官方渠道进行核实。

2.带密码的加密压缩包并不代表内容安全，针对类似此次传播的“银狐”木马病毒加密压缩包文件的新特点，用户可将解压后的可疑文件先行上传至国家计算机病毒协同分析平台（https://virus.cverc.org.cn）进行安全性检测，并保持防病毒软件实时监控功能开启，将电脑操作系统和防病毒软件更新到最新版本。

3.一旦发现电脑操作系统的安全功能和防病毒软件在非自主操作情况下被异常关闭，应立即主动切断网络连接，对重要数据进行迁移和备份，并对相关设备进行停用直至通过系统重装或还原、完全的安全检测和安全加固后方可继续使用。

4.一旦发现微信、QQ或其他社交媒体软件发生被盗现象，应向亲友和所在单位同事告知相关情况，并通过相对安全的设备和网络环境修改登录密码，对自己常用的计算机和移动通信设备进行杀毒和安全检查，如反复出现账号被盗情况，应在备份重要数据的前提下，考虑重新安装操作系统和防病毒软件并更新到最新版本。

来源：国家计算机病毒应急处理中心

-END-

欢迎关注我们~

网络安全和信息化

《网络安全和信息化》杂志官方所属，网络安全人员与IT运维人员的专业管理类经验、知识、资料，帮助用户提高网络安全能力建设和IT基础设施运营水平，提升IT管理人员工作能力。

最新文章

第二批汽车数据处理4项安全要求检测情况通报发布

四问+一图，读懂《关于开展万兆光网试点工作的通知》

安全跟我学｜事关个人信息，这些你可以拒绝！

Gartner：目前仅8%的中国企业将生成式人工智能部署在生产环境中

重点防范境外恶意网址和恶意IP（续三）

三部门印发《国家数据基础设施建设指引》

国家网信办就《个人信息出境个人信息保护认证办法（征求意见稿）》公开征求意见

专家解读｜构建个人信息出境个人信息保护认证制度保障个人信息跨境安全有序流动

专家解读｜推动个人信息出境个人信息保护认证制度落地促进个人信息高效便利安全跨境流动

一图读懂｜《网络数据安全管理条例》自2025年1月1日起施行

《网络数据安全管理条例》解读二：核心规则设计的变化与延续（上）

《网络数据安全管理条例》解读三：核心规则设计的变化与延续（下）

网信部门严厉打击整治网络水军问题

《网络安全和信息化》杂志2025年第1期目录

收到这类短信，速删！

2024年1—11月我国软件业务收入122903亿元同比增长10.7%

22款APP及SDK存在侵害用户权益行为被通报

赛迪科创Pre独角兽（2024）发布

19项密码行业标准发布，自2025年7月1日起实施

六部门印发《关于促进数据产业高质量发展的指导意见》

数据领域常用名词解释（第一批）

《网络数据安全管理条例》解读一：条例出台的必要性与重要性

小型语言模型：AI领域的新热点

国家金融监督管理总局发布《银行保险机构数据安全管理办法》

国家金融监督管理总局有关司局负责人就《银行保险机构数据安全管理办法》答记者问

“搬运”已公开的个人信息，构成侵权吗？

五部门印发《关于促进企业数据资源开发利用的意见》

2024“鼎信杯”信息技术发展论坛在京成功举行

数据安全保护不容忽视！浙江某软件科技公司被公安机关行政处罚

五问+一图，读懂《制造业企业数字化转型实施指南》

大数据环境下数据要素隐私保护研究

构建数据保护的知识产权规则

停个车，个人信息怎么就泄露了？

起底美国网攻窃密的不法行径

近期多发！多名“抖音”网民中招！

我国数字经济核心产业企业总量突破450万家

2025年我国网络安全发展形势展望

筑牢数字安全防线 Fortinet防火墙到SASE的安全网络变革

警惕｜“银狐”木马病毒再次出现新变种并更新传播手法

微信紧急提醒：警惕社交平台传播木马病毒

《网络安全标准实践指南—— 一键停止收集车外数据指引》发布

《网络安全标准实践指南——生成式人工智能服务安全应急响应指南（征求意见稿）》公开征求意见

《网络安全标准实践指南——移动互联网未成年人模式技术要求（征求意见稿）》公开征求意见

网信部门从严打击网上侵害未成年人合法权益行为

数据要素跨境流动中的网络安全风险与应对策略

促进数据跨境有序流动

AI时代下，医疗领域数据安全问题不容忽视

2024年全球加快推进人工智能监管

全部封了！微信出手整治“AI明星”

@所有人 2024“鼎信杯”信息技术发展论坛报名正式开启！

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉