AI工具
Deepseek 豆包 kimi 通义千问 腾讯元宝 海螺问问 天工AI 文心一言
当前位置: 网站首页 >> 信息安全 >> 信息安全预警 >> 正文

警惕"银狐"木马病毒攻击活动演化-专门针对我国用户实施钓鱼攻击

2026年06月08日 16:57  点击:[]

警惕"银狐"木马病毒攻击活动演化-专门针对我国用户实施钓鱼攻击

一、事件概述

国家计算机病毒应急处理中心于2026年5月23日发布安全预警,监测发现专门针对我国用户的"银狐"木马病毒出现新型变种。该病毒通过伪装成"裁员名单""违纪通报""补偿方案"等人事相关文件实施钓鱼攻击,一旦用户点击运行,电脑将被不法分子远程控制,进而窃取敏感数据。

二、病毒特征分析

(一)伪装手法

本次发现的"银狐"木马病毒新变种采用多种欺骗性伪装手段:

文件名伪装

·"XX季度违纪名单"

·"裁员名单"

·"补偿方案"

·"通报人员信息"

·"违纪通报信息"

图标伪装

·伪装成文件夹图标

·伪装成桌面快捷方式

·伪装成系统回收站图标

·添加"pdf"等常见后缀名增强迷惑性

病毒样本截图

   

银狐病毒样本伪装截图

(二)传播渠道

攻击者主要通过以下渠道传播病毒:

·混入微信工作群、行业交流群发布恶意文件

·通过钉钉、飞书、QQ等即时通讯工具传播

·伪装成福利通知、裁员名单等钓鱼文件诱导下载

(三)攻击目标

本次攻击目标非常广泛,重点针对:

·企事业单位人事部门工作人员

·财务岗位员工

·具有一定规模的组织机构工作人员

三、危害后果

                           

攻击活动示意图

(一)远程控制

病毒激活运行后,会在后台静默植入远程控制程序,攻击者可完全控制受害主机,包括:

·远程查看屏幕内容

·窃取文件和敏感数据

·记录键盘输入

·截取屏幕截图

(二)数据窃取

攻击者可窃取以下敏感信息:

·企业商业机密

·员工个人信息

·财务数据

·客户资料

四、技术特征

                           

银狐病毒技术特征分析

病毒运行后可能会在以下路径投放载荷文件:

%APPDATA%(应用程序数据目录)

 

%LOCALAPPDATA%\Temp\(临时目录)

 

用户下载文件夹或者桌面

 

关键文件包括:

                           

·log.dll:加载器模块

·installer.exe:白文件加载器

病毒通过白文件加载恶意DLL,绕过部分安全软件检测。

五、防范措施

文件处理原则

1.不要随意打开来源不明的文件,尤其是"裁员""违纪"类敏感文件

2.即使是工作群接收的文件,也要通过电话或其他渠道与发送者确认

3.注意文件扩展名,可执行文件(.exe、.scr、.com)即使伪装成文件夹图标也要警惕

系统安全

1.开启Windows Defender或其他杀毒软件实时防护

2.及时更新操作系统和安全软件病毒库

3.关闭Windows系统的"隐藏已知文件类型的扩展名"选项,便于识别伪装文件

可疑文件检测

可将可疑文件上传至国家计算机病毒协同分析平台进行检测:

https://virus.cverc.org.cn/

 

                           


1.部署终端安全防护软件并保持病毒库更新

2.加强网络边界防护,监控异常外联行为

3.对重要系统实施多因素认证

4.定期备份重要数据

六、应急响应

如发现已感染"银狐"木马病毒,应立即采取以下措施:

(一)立即隔离

1.断开网络连接

2.通知单位网络安全负责人

(二)清除病毒

1.使用杀毒软件进行全盘扫描

2.手动检查并删除可疑文件

3.检查启动项和计划任务

(三)排查影响

1.检查近期是否有异常转账操作

2.排查敏感数据是否被外发

3.检查是否有其他主机被感染

七、安全提示

当前环境下,"裁员""违纪"等话题极易引起员工关注,攻击者正是利用这种心理实施钓鱼攻击。请广大用户:

1.保持警惕,不轻信来源不明的"敏感文件"

2.遇到涉及裁员等文件,核实清楚

3.企业应加强员工安全意识培训

4.发现可疑情况及时报告

八、参考来源

国家计算机病毒应急处理中心. 官方预警:"银狐"木马病毒出现新变种.


 

下一条:Linux内核CVE-2026-31431(Copy Fail)本地提权漏洞风险预警

 

关闭