“銀狐”木馬病毒出現(xiàn)新變種：偽裝成稅務(wù)內(nèi)容、放假安排的惡意程序

IT之家 4 月 25 日消息，據(jù)央視新聞今日?qǐng)?bào)道，國家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)病毒防治技術(shù)國家工程實(shí)驗(yàn)室依托國家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)（virus.cverc.org.cn）在我國境內(nèi)連續(xù)捕獲一系列針對(duì)我國網(wǎng)絡(luò)用戶，特別是財(cái)務(wù)和稅務(wù)工作人員用戶的木馬病毒。

這些病毒的文件名稱與 2025 年“稅務(wù)稽查”“所得稅匯算清繳”“放假安排”等誘餌主題相關(guān)，實(shí)際為惡意可執(zhí)行程序，全部針對(duì) Windows 平臺(tái)用戶，主要通過社交媒體中轉(zhuǎn)發(fā)的釣魚網(wǎng)頁鏈接進(jìn)行傳播。

經(jīng)過分析后發(fā)現(xiàn)這些病毒均為“銀狐”（又名：“游蛇”“谷墮大盜”等）家族木馬病毒變種，如果用戶運(yùn)行相關(guān)惡意程序文件，將被攻擊者實(shí)施遠(yuǎn)程控制、竊密、挖礦等惡意操作，并可能被利用充當(dāng)進(jìn)一步實(shí)施電信網(wǎng)絡(luò)詐騙活動(dòng)的“跳板”。

IT之家匯總有關(guān)該病毒的介紹如下：

病毒感染特征

1.釣魚主題特征

攻擊者使用的釣魚誘餌主題高度貼合我國社會(huì)和經(jīng)濟(jì)活動(dòng)的周期性事件。結(jié)合第一季度特點(diǎn)，攻擊者刻意強(qiáng)調(diào)“企業(yè)所得稅”“第一季度”“稅務(wù)稽查”“匯算清繳”“3?15 曝光”“清明節(jié)放假”等關(guān)鍵詞，甚至偽造政府部門通知（如下圖所示），借此使?jié)撛谑芎φ咴黾泳o迫感和好奇心從而放松警惕，進(jìn)而下載和運(yùn)行具有迷惑性的木馬病毒文件。

2.病毒文件特征

本次發(fā)現(xiàn)的系列木馬病毒文件名與釣魚信息具有高度一致性。如下圖所示。

本次發(fā)現(xiàn)的系列木馬病毒與“銀狐”木馬病毒此前的文件格式特點(diǎn)一致，均以 RAR、ZIP 等壓縮格式為主，但大多數(shù)并未設(shè)置密碼口令，解壓縮后會(huì)釋放與壓縮文件同名或相仿的 EXE 可執(zhí)行程序或 DLL 動(dòng)態(tài)鏈接庫文件。網(wǎng)絡(luò)安全管理員可訪問國家計(jì)算機(jī)病毒應(yīng)急處理中心官方網(wǎng)站（www.cverc.org.cn）查看預(yù)警報(bào)告原文，并通過國家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)（virus.cverc.org.cn）獲得相關(guān)病毒樣本的詳細(xì)信息。

主要危害

攻擊者發(fā)動(dòng)本次系列病毒木馬攻擊活動(dòng)的主要目的仍然是通過木馬病毒控制大量受害者主機(jī)，并竊取相關(guān)單位敏感數(shù)據(jù)和公民個(gè)人信息。

同時(shí)也發(fā)現(xiàn)，由于近期我國企事業(yè)單位和個(gè)人用戶在人工智能應(yīng)用，特別是人工智能大模型的本地化部署方面的投入大量增加，攻擊者還會(huì)針對(duì)性地根據(jù)受害主機(jī)的配置情況，投送惡意“挖礦”病毒，盜竊用戶高性能計(jì)算機(jī)的算力“挖掘”比特幣等加密數(shù)字貨幣以非法牟利。

防范措施

臨近五一假期，國家計(jì)算機(jī)病毒應(yīng)急處理中心提示廣大企事業(yè)單位和個(gè)人網(wǎng)絡(luò)用戶持續(xù)保持針對(duì)各類電信網(wǎng)絡(luò)詐騙活動(dòng)的警惕性和防范意識(shí)。結(jié)合本次發(fā)現(xiàn)的系列木馬病毒傳播活動(dòng)的相關(guān)特點(diǎn)，建議廣大用戶采取以下防范措施：

• 不要輕信微信群、QQ 群或其他社交媒體軟件[IT江湖]中傳播的所謂政府機(jī)關(guān)和公共管理機(jī)構(gòu)發(fā)布的“工作通知”“放假安排”“補(bǔ)貼政策”及相關(guān)工作文件和官方程序（或相應(yīng)下載鏈接和二維碼），應(yīng)通過官方渠道進(jìn)行核實(shí)。

• 針對(duì)類似此次傳播的系列木馬病毒，用戶可將壓縮包和解壓后的可疑文件先行上傳至國家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)（virus.cverc.org.cn）進(jìn)行安全性檢測(cè)，并保持防病毒軟件[IT江湖]實(shí)時(shí)監(jiān)控功能開啟，將電腦[IT江湖]操作系統(tǒng)和防病毒軟件[IT江湖]更新到最新版本。

• 一旦用戶遭遇以下異常狀況，應(yīng)立即主動(dòng)切斷計(jì)算機(jī)設(shè)備網(wǎng)絡(luò)連接，對(duì)重要數(shù)據(jù)進(jìn)行遷移和備份，并對(duì)相關(guān)設(shè)備進(jìn)行停用直至通過系統(tǒng)重裝或還原、完全的安全檢測(cè)和安全加固后方可繼續(xù)使用。

（1）操作系統(tǒng)的安全功能和防病毒軟件[IT江湖]在非自主操作情況下被異常關(guān)閉；

（2）在排除硬件故障且用戶沒有主動(dòng)運(yùn)行大型應(yīng)用程序的情況下，電腦[IT江湖]的性能突然嚴(yán)重下降且系統(tǒng)資源占用率長時(shí)間居高不下；

（3）社交媒體或電子郵件等網(wǎng)絡(luò)應(yīng)用程序提示用戶賬戶出現(xiàn)異常登錄或反復(fù)收到網(wǎng)絡(luò)服務(wù)商發(fā)來的登錄驗(yàn)證碼等異常情況。

• 一旦發(fā)現(xiàn)微信、QQ 或其他社交媒體軟件[IT江湖]發(fā)生被盜現(xiàn)象，應(yīng)向親友和所在單位同事告知相關(guān)情況，并通過相對(duì)安全的設(shè)備和網(wǎng)絡(luò)環(huán)境修改登錄密碼，并對(duì)自己常用的計(jì)算機(jī)和移動(dòng)通信設(shè)備進(jìn)行殺毒和安全檢查，如反復(fù)出現(xiàn)賬號(hào)被盜情況，應(yīng)在備份重要數(shù)據(jù)的前提下，考慮重新安裝操作系統(tǒng)和防病毒軟件[IT江湖]并更新到最新版本。