公安部网安局：我国境内再次拿获发现“银狐”木马病毒最新变种

我国境内再次拿获发现针对我国用户的“银狐”木马病毒的最新变种。在本次传播经过中，纰谬者不竭通过构造财务、税务违法检讨讲演等主题的垂纶信息和储藏集会，通过微信群径直传播包含该木马病毒的加密压缩包文献，如图1所示。

 

图1 垂纶信息及压缩包文献

图1中名为“条记”等字样的储藏集会指向文献名为“违法-纪录（1）.rar”等压缩包文献，用户按照垂纶信息给出的解压密码解压压缩包文献后，会看到以“开票-目次.exe”“违法-文告.exe”等定名的可实行程引言件，这些可实行神色本色为“银狐”远控木马眷属于12月更新传播的最新变种神色。若是用户驱动相干坏心程引言件，将被纰谬者实施云尔杀青、窃密等坏心操作，并可能被作歹分子愚弄充任进一步实施电信汇聚骗取行径的“跳板”。

本次发现纰谬者使用的垂纶信息仍然以伪造官方讲演为主。结合年末特色，纰谬者刻意强调“12月”“检讨”“违法”等要道词，借此使潜在受害者加多要紧感从而收缩警惕。在垂纶信息之后，纰谬者不竭发送附带所谓的相干责任文献的垂纶集会。

关于本次发现的新一批变种，作歹分子不竭将木马病毒神色的文献名建树为与财税、金融贬责等相干责任具有密切连络的称号，以迷惑相干岗亭责任主说念主员点击下载驱动，如：“开票-目次”“违法-纪录”“违法-文告”等。这次发现的新变种仍然只针对安设Windows操作系统的传统PC环境，作歹分子也会在垂纶信息中使用“请使用电脑版”等话术进行有针对性的引导教唆。

本次发现的新变种以RAR、ZIP等压缩神色（内含EXE可实行神色）为主，与之前变种不同的是，这次纰谬者为压缩包建树了解压密码，并在垂纶信息中进行教唆奉告，以藏匿酬酢媒体软件和部分安全软件的检测，使其具有更强的传播能力。木马病毒被安设驱动后，会在操作系统中创建新程度，程度名与文献名疏浚，并从回联就业器下载其他坏心代码径直在内存中加载实行。

回联地址为：156.***.***.90，端标语为：1217

号召杀青就业器（C2）域名为：mm7ja.*****.cn，端标语为：6666

汇聚安全贬责员可字据上述特征配置防火墙计策，对相等通讯行径进行阻扰。其中与C2地址的通讯经过中，纰谬者会采集受害主机的操作系统信息、汇聚配置信息、USB建树信息、屏幕截图、键盘纪录、剪切板内容等明锐数据。

本次发现的新变种还具有主动纰谬安全软件的功能，试图通过模拟用户鼠标键盘操作关闭防病毒软件。

临连年末，国度预想机病毒济急处理中心再次教唆弘远企奇迹单元和个东说念主汇聚用户普及针对各样电信汇聚骗取行径的警惕性和拒接暴露，不要缓慢被作歹分子的垂纶话术所引导。结合本次发现的银狐木马病毒新变种传播行径的相干特色，提议弘远用户选拔以下拒接步调：

不要轻信微信群、QQ群或其他酬酢媒体软件中传播的所谓政府机关和众人贬责机构发布的讲演及相干责任文献和官方神色（或相应下载集会），应通过官方渠说念进行核实。

带密码的加密压缩包并不代表内容安全，针对一样这次传播的“银狐”木马病毒加密压缩包文献的新特色，用户可将解压后的可疑文献先行上传至国度预想机病毒协同分析平台（https://virus.cverc.org.cn）进行安全性检测，并保合手防病毒软件及时监控功能开启，将电脑操作系统和防病毒软件更新到最新版块。

一朝发现电脑操作系统的安全功能和防病毒软件在非自主操作情况下被相等关闭，应立即主动堵截汇聚结合，对紧要数据进行迁徙和备份，并对相干建树进行停用直至通过系统重装或归附、都备的安全检测和安全加固后方可不竭使用。

一朝发现微信、QQ或其他酬酢媒体软件发生被盗风景，应向亲一又和场所单元共事奉告相干情况，并通过相对安全的建树和汇聚环境修改登录密码，对我方常用的预想机和转移通讯建树进行杀毒和安全检验，如反复出现账号被盗情况，应在备份紧要数据的前提下，筹商从头安设操作系统和防病毒软件并更新到最新版块。