警惕！“銀狐”木馬病毒再次出現(xiàn)新變種并更新傳播手法

我國境內再次捕獲發(fā)現(xiàn)針對我國用戶的“銀狐”木馬病毒的最新變種,。在本次傳播過程中,，攻擊者繼續(xù)通過構造財務、稅務違規(guī)稽查通知等主題的釣魚信息和收藏鏈接,，通過微信群直接傳播包含該木馬病毒的加密壓縮包文件,，如圖1所示。

釣魚信息及壓縮包文件

圖中名為“筆記”等字樣的收藏鏈接指向文件名為“違規(guī)-記錄（1）.rar”等壓縮包文件，用戶按照釣魚信息給出的解壓密碼解壓壓縮包文件后,，會看到以“開票-目錄.exe”“違規(guī)-告示.exe”等命名的可執(zhí)行程序文件,，這些可執(zhí)行程序實際為“銀狐”遠控木馬家族于12月更新傳播的最新變種程序。如果用戶運行相關惡意程序文件,，將被攻擊者實施遠程控制,、竊密等惡意操作，并可能被犯罪分子利用充當進一步實施電信網(wǎng)絡詐騙活動的“跳板”,。

本次發(fā)現(xiàn)攻擊者使用的釣魚信息仍然以偽造官方通知為主,。結合年末特點，攻擊者刻意強調“12月”“稽查”“違規(guī)”等關鍵詞,，借此使?jié)撛谑芎φ咴黾泳o迫感從而放松警惕,。在釣魚信息之后，攻擊者繼續(xù)發(fā)送附帶所謂的相關工作文件的釣魚鏈接,。

對于本次發(fā)現(xiàn)的新一批變種,，犯罪分子繼續(xù)將木馬病毒程序的文件名設置為與財稅、金融管理等相關工作具有密切聯(lián)系的名稱,，以引誘相關崗位工作人員點擊下載運行,，如：“開票-目錄”“違規(guī)-記錄”“違規(guī)-告示”等。此次發(fā)現(xiàn)的新變種仍然只針對安裝Windows操作系統(tǒng)的傳統(tǒng)PC環(huán)境,，犯罪分子也會在釣魚信息中使用“請使用電腦版”等話術進行有針對性的誘導提示,。

本次發(fā)現(xiàn)的新變種以RAR、ZIP等壓縮格式（內含EXE可執(zhí)行程序）為主,，與之前變種不同的是,，此次攻擊者為壓縮包設置了解壓密碼，并在釣魚信息中進行提示告知,，以逃避社交媒體軟件和部分安全軟件的檢測,，使其具有更強的傳播能力。木馬病毒被安裝運行后,，會在操作系統(tǒng)中創(chuàng)建新進程,，進程名與文件名相同，并從回聯(lián)服務器下載其他惡意代碼直接在內存中加載執(zhí)行,。

回聯(lián)地址為：156.***.***.90,，端口號為：1217

命令控制服務器（C2）域名為：mm7ja.*****.cn，端口號為：6666

網(wǎng)絡安全管理員可根據(jù)上述特征配置防火墻策略,，對異常通信行為進行攔截,。其中與C2地址的通信過程中，攻擊者會收集受害主機的操作系統(tǒng)信息,、網(wǎng)絡配置信息,、USB設備信息,、屏幕截圖、鍵盤記錄,、剪切板內容等敏感數(shù)據(jù),。

本次發(fā)現(xiàn)的新變種還具有主動攻擊安全軟件的功能，試圖通過模擬用戶鼠標鍵盤操作關閉防病毒軟件,。

臨近年末,，國家計算機病毒應急處理中心再次提示廣大企事業(yè)單位和個人網(wǎng)絡用戶提高針對各類電信網(wǎng)絡詐騙活動的警惕性和防范意識，不要輕易被犯罪分子的釣魚話術所誘導,。結合本次發(fā)現(xiàn)的銀狐木馬病毒新變種傳播活動的相關特點,，建議廣大用戶采取以下防范措施：

不要輕信微信群、QQ群或其他社交媒體軟件中傳播的所謂政府機關和公共管理機構發(fā)布的通知及相關工作文件和官方程序（或相應下載鏈接）,，應通過官方渠道進行核實,。

帶密碼的加密壓縮包并不代表內容安全，針對類似此次傳播的“銀狐”木馬病毒加密壓縮包文件的新特點,，用戶可將解壓后的可疑文件先行上傳至國家計算機病毒協(xié)同分析平臺（https://virus.cverc.org.cn）進行安全性檢測,，并保持防病毒軟件實時監(jiān)控功能開啟，將電腦操作系統(tǒng)和防病毒軟件更新到最新版本,。

一旦發(fā)現(xiàn)電腦操作系統(tǒng)的安全功能和防病毒軟件在非自主操作情況下被異常關閉,，應立即主動切斷網(wǎng)絡連接，對重要數(shù)據(jù)進行遷移和備份,，并對相關設備進行停用直至通過系統(tǒng)重裝或還原,、完全的安全檢測和安全加固后方可繼續(xù)使用。

一旦發(fā)現(xiàn)微信,、QQ或其他社交媒體軟件發(fā)生被盜現(xiàn)象,，應向親友和所在單位同事告知相關情況，并通過相對安全的設備和網(wǎng)絡環(huán)境修改登錄密碼,，對自己常用的計算機和移動通信設備進行殺毒和安全檢查,，如反復出現(xiàn)賬號被盜情況，應在備份重要數(shù)據(jù)的前提下,，考慮重新安裝操作系統(tǒng)和防病毒軟件并更新到最新版本。

（原標題：警惕,！這種木馬病毒再次變異）

【責任編輯：劉如英】

【內容審核：孫令衛(wèi)】