IT 之家 12 月 20 日音问开云kaiyun，国度贪图机病毒济急处理中心本日宣布，与贪图机病毒防治时刻国度工程施行室依托国度贪图机病毒协同分析平台在我国境内再次拿获发现针对我国用户的"银狐"（IT 之家注：笔名"游蛇"、"谷堕大盗"）木马病毒的最新变种。

关联病毒传播案例

近日，国度贪图机病毒济急处理中心和贪图机病毒防治时刻国度工程施行室依托国度贪图机病毒协同分析平台在我国境内再次拿获发现针对我国用户的"银狐"木马病毒的最新变种。在本次传播流程中，膺惩者赓续通过构造财务、税务违法检讨求教等主题的垂钓信息和储藏聚集，通过微信群平直传播包含该木马病毒的加密压缩包文献。

名为"札记"等字样的储藏聚集指向文献名为"违法 - 纪录（1）.rar "等压缩包文献，用户按照垂钓信息给出的解压密码解压压缩包文献后，会看到以"开票 - 目次 .exe "、"违法 - 书记 .exe "等定名的可扩充程小序件，这些可扩充门径骨子为"银狐"远控木马家眷于 12 月更新传播的最新变种门径。若是用户入手关联坏心程小序件，将被膺惩者实施云尔放置、窃密等坏心操作，并可能被犯法分子运用充任进一步实施电信采集欺诈动作的"跳板"。

病毒感染特征垂钓信息特征

本次发现膺惩者使用的垂钓信息仍然以伪造官方求教为主。结合年末脾性，膺惩者刻意强调" 12 月"、"检讨"、"违法"等要津词，借此使潜在受害者加多要紧感从而减弱警惕。在垂钓信息之后，膺惩者赓续发送附带所谓的关联责任文献的垂钓聚集。

文献特征

文献名：关于本次发现的新一批变种，犯法分子赓续将木马病毒门径的文献名建立为与财税、金融处分等关联责任具有密切考虑的称呼，以迷惑关联岗亭责任主说念主员点击下载入手，如："开票 - 目次"、"违法 - 纪录"、"违法 - 书记"等。这次发现的新变种仍然只针对装配 Windows 操作系统的传统 PC 环境，犯法分子也会在垂钓信息中使用"请使用电脑版"等话术进行有针对性的指令请示。

文献体式：本次发现的新变种以 RAR、ZIP 等压缩体式（内含 EXE 可扩充门径）为主，与之前变种不同的是，这次膺惩者为压缩包建立了解压密码，并在垂钓信息中进行请示见告，以澌灭派遣媒体软件和部分安全软件的检测，使其具有更强的传播才智。

文献 HASH：34101194d27df8bc823e339d590e18f2

进度特征

木马病毒被装配入手后，会在操作系统中创建新进度，进度名与文献名相易，并从回联作事器下载其他坏心代码平直在内存中加载扩充。

采集通讯特征

回联地址为：156.***.***.90，端标语为：1217

号令放置作事器（C2）域名为：mm7ja.*****. cn，端标语为：6666

采集安全处分员可把柄上述特征配置防火墙战术，对十分通讯步履进行防止。其中与 C2 地址的通讯流程中，膺惩者会收罗受害主机的操作系统信息、采集配置信息、USB 设立信息、屏幕截图、键盘纪录、剪切板内容等敏锐数据。

其他特征

本次发现的新变种还具有主动膺惩安全软件的功能，试图通过模拟用户鼠标键盘操作关闭防病毒软件。

退缩步调

不要轻信微信群、QQ 群或其他派遣媒体软件中传播的所谓政府机关和民众处分机构发布的求教及关联责任文献和官方门径（或相应下载聚集），应通过官方渠说念进行核实。

带密码的加密压缩包并不代表内容安全，针对相通这次传播的"银狐"木马病毒加密压缩包文献的新脾性，用户可将解压后的可疑文献先行上传至国度贪图机病毒协同分析平台进行安全性检测，并保合手防病毒软件及时监控功能开启，将电脑操作系统和防病毒软件更新到最新版块。

一朝发现电脑操作系统的安全功能和防病毒软件在非自主操作情况下被十分关闭，应立即主动割断采集联结，对要紧数据进行迁徙和备份，并对关联设立进行停用直至通过系统重装或收复、全齐的安全检测和安全加固后方可赓续使用。

一朝发现微信、QQ 或其他派遣媒体软件发生被盗表象，应向亲一又和地点单元共事见告关联情况，并通过相对安全的设立和采集环境修改登录密码，对我方常用的贪图机和挪动通讯设立进行杀毒和安全检验，如反复出现账号被盗情况，应在备份要紧数据的前提下开云kaiyun，研讨再行装配操作系统和防病毒软件并更新到最新版块。