12月20日，国家计算机病毒应急处理中心发布紧急预警，指出针对我国用户的“银狐”木马病毒出现了新变种，并更新了传播手法。

一、病毒传播新动向

近期，国家计算机病毒应急处理中心与计算机病毒防治技术国家工程实验室，依托国家计算机病毒协同分析平台（https://virus.cverc.org.cn），再次在我国境内捕获到“银狐”木马病毒的最新变种。攻击者利用伪造的财务、税务违规稽查通知等钓鱼信息，通过微信群散播含有木马病毒的加密压缩包文件。这些文件以“笔记”等字样命名，指向如“违规-记录（1）.rar”等压缩包，解压后会发现名为“开票-目录.exe”、“违规-告示.exe”等可执行程序，实为木马病毒新变种。

图1 钓鱼信息及压缩包文件示例

一旦用户运行这些恶意程序，攻击者便能实施远程控制、数据窃取等恶意操作，甚至可能利用受感染设备作为进一步实施电信网络诈骗的“跳板”。

二、病毒感染特征详解

1. 钓鱼信息特征：本次钓鱼信息以伪造官方通知为主，强调“12月”、“稽查”、“违规”等关键词，制造紧迫感，诱导用户点击链接下载。

2. 文件特征：文件名如“开票-目录”、“违规-记录”等，与财税、金融管理相关，针对Windows操作系统。文件格式主要为RAR、ZIP等压缩格式，内含EXE可执行程序，且设置了解压密码，以逃避检测。

3. 文件HASH值：34101194d27df8bc823e339d590e18f2，管理员可通过国家计算机病毒协同分析平台获取病毒样本详细信息。

4. 进程特征：木马病毒运行后创建新进程，并从回联服务器下载其他恶意代码执行。

5. 网络通信特征：回联地址及端口号、命令控制服务器（C2）域名及端口号均已明确，管理员可据此配置防火墙策略进行拦截。

6. 其他特征：新变种具备主动攻击安全软件的能力，试图关闭防病毒软件。

三、防范建议

针对此次“银狐”木马病毒新变种的传播特点，国家计算机病毒应急处理中心提出以下防范措施：

1. 不轻信微信群、QQ群等社交媒体中的所谓官方通知及文件，应通过官方渠道核实。

2. 带密码的加密压缩包不代表内容安全，解压后应先行上传至国家计算机病毒协同分析平台检测，并保持防病毒软件实时监控功能开启。

3. 发现安全功能或防病毒软件异常关闭时，应立即切断网络连接，迁移备份重要数据，停用相关设备直至通过安全检测。

4. 发现社交媒体账号被盗时，应向亲友和同事告知，并通过安全设备修改密码，进行杀毒和安全检查。

本预警报告得到了多家共建单位的技术和信息支持，感谢北京神州绿盟科技有限公司、北京华安云科网络技术有限公司、南开大学网络空间安全学院、北京瑞星网安技术股份有限公司、安天科技集团股份有限公司、计算机病毒防治技术国家工程实验室和国家计算机病毒协同分析平台的支持。

（文章来源：界面新闻）