隐蔽性迷惑性极强！警惕伪装成“裁员名单”“补偿方案”的“银狐”木马病毒

国家计算机病毒应急处理中心近日发布预警通报，经分析发现，专门针对我国用户的“银狐”木马病毒出现最新变种。该病毒通过伪装成“裁员补偿”“违纪通报信息”等文件实施钓鱼攻击，一旦点击，电脑将会被不法者远程控制，进而被窃取敏感信息。

“银狐”木马病毒出现新变种

实施钓鱼攻击

根据通报，本次发现的木马病毒新变种继续采用钓鱼欺诈手段，大量采用人事业务相关的诱导性文件名，文件名以“XX季度违纪名单”“裁员名单”“补偿方案”等为主，还精心伪装成文件夹、快捷方式、回收站等，或添加“pdf”文件名的伪装后缀，极具迷惑性。

国家计算机病毒应急处理中心高级工程师 杜振华：用户看到之后，第一反应可能就是要点开看一看。攻击者会把这个可执行文件的图标改成像文件夹、压缩包的图标，有一些直接伪装成文档，甚至是回收站。这些都会给被攻击者一个错觉，就是可以点进去看或是点击打开，这就是攻击者设计攻击逻辑的基本思路。

据网络安全专家介绍，该病毒一旦被激活运行后，会在后台静默植入远程控制程序，攻击者不仅能窃取用户敏感数据和公民个人信息，甚至可能将受害者的电脑作为“跳板”，进一步对其实施精准的电信网络诈骗。

国家计算机病毒应急处理中心高级工程师 杜振华：在做恶意操作的时候，用户无法察觉。更多的时候是用户的亲属或同事会反过来问用户，为什么收到用户发的所谓的文件或链接，点进去后发现什么也没打开，或者打开的东西明显是不太正常。这个时候用户首先必须做的就是对计算机设备进行病毒查杀，然后进行恢复。

隐蔽性强、攻击手法升级

如何防范？

据国家计算机病毒应急处理中心通报，“银狐”系列木马病毒攻击活动与电信网络诈骗活动密切关联，长期将我国用户作为攻击目标，具有变种速度快、隐蔽性强等特点。我们该如何防范？专家进行了介绍。

据网络安全专家介绍，此次发现的“银狐”木马病毒攻击目标非常广泛，重点针对具有一定规模的组织机构工作人员，特别是人事相关业务工作人员，主要目的是通过木马病毒控制大量受害者主机，窃取受害企业敏感数据和公民个人信息，进而实施勒索或欺诈。

奇安信集团安全专家 梁圣：攻击者会混入QQ、微信、飞书、钉钉的一些工作群，或者是行业交流群里，然后发布一些恶意文件或者下载链接，或者是通过钓鱼邮件，伪装成裁员名单、福利通知之类的文件，让企业内部的员工下载这种恶意文件。

国家计算机病毒应急处理中心高级工程师 杜振华：长期潜伏渗透，他最终的目的是进入单位的核心业务部门，比如财务部门、生产部门或者技术部门，甚至是高层领导。一旦成功，犯罪分子就可以在单位的内部发起所谓的虚假转账业务，或者篡改转账业务里的收款人。

据网络安全专家介绍，该病毒变种速度快、隐蔽性强。为此，建议相关部门、企事业单位应立即加强内部安全培训，并建议采取以下综合防范措施：

在使用即时通信工具或电子邮件处理工作事务期间，警惕新增临时工作群组和电子邮件中传播的“违纪”“裁员”等相关主题文件，拒绝点击陌生人发送的文件，对本单位或外单位同事发送的相关文件应与其本人或正式渠道核实；

用户可将可疑的文档文件、可执行文件、压缩包文件或解压后的可疑文件先行上传至国家计算机病毒协同分析平台（https://virus.cverc.org.cn）进行安全检测，并保持防病毒软件实时监控功能开启，将计算机操作系统和防病毒软件更新到最新版本；

一旦发现本人即时通信工具或电子邮件发生被盗用现象，应立即停止使用可能感染病毒的计算机设备，将其断开网络连接，并向单位网络管理员、相关同事和亲友告知相关情况，在备份重要数据的前提下，对相关计算机设备进行杀毒和安全检查，更换常用口令且应具有较高强度。

什么是“银狐”木马病毒？

近年来，“银狐”木马病毒在网络空间持续活跃，变种层出不穷、攻击频次居高不下，对我国个人信息安全和政企网络安全造成极大危害。

据网络安全专家介绍，“银狐”木马病毒是一款活跃多年、专门以我国网络用户为主要攻击目标的远程控制类恶意木马程序。该木马病毒始终处于持续迭代更新状态，常年潜伏在日常办公、社交通信、邮件传输等网络场景中，伺机发起攻击。

奇安信集团安全专家 梁圣：该木马病毒是远控的逻辑，攻击者可以拿到受害者的完整的电脑权限，所以它的窃密能力非常强，它可以把电脑里面所有的信息都窃走。攻击者可以操作受害者的即时通信工具或邮件客户端，借此联系公司内部的财务、法务、出纳等，对他们进行诈骗，或者对受害者朋友圈里的人进行诈骗。

据网络安全专家介绍，“银狐”木马病毒从诞生之初就带有明确的非法牟利目的，它不属于单一固定病毒，而是一整套恶意攻击程序家族，目前已经形成一条完整的黑色产业链。

奇安信集团安全专家 梁圣：对写这种银狐木马的人的技术要求是比较高的，下游专门做远控操作、窃密、诈骗等角色，甚至后面还有一些专门在黑市里贩卖用户信息的。还有一些诈骗园区（团伙）用已被攻陷的电脑，通过被攻击者的一些社交软件进行诈骗，这就是一个完整的黑色产业链。