“銀狐”木馬病毒出現新變種:偽裝成稅務內容����、放假安排的惡意程序
IT之家 4 月 25 日消息�����,據央視新聞今日報道��,國家計算機病毒應急處理中心和計算機病毒防治技術國家工程實驗室依托國家計算機病毒協同分析平臺(virus.cverc.org.cn)在我國境內連續捕獲一系列針對我國網絡用戶,特別是財務和稅務工作人員用戶的木馬病毒。
這些病毒的文件名稱與 2025 年“稅務稽查”“所得稅匯算清繳”“放假安排”等誘餌主題相關,實際為惡意可執行程序��,全部針對 Windows 平臺用戶��,主要通過社交媒體中轉發的釣魚網頁鏈接進行傳播��。
經過分析后發現這些病毒均為“銀狐”(又名:“游蛇”“谷墮大盜”等)家族木馬病毒變種,如果用戶運行相關惡意程序文件,將被攻擊者實施遠程控制��、竊密�����、挖礦等惡意操作,并可能被利用充當進一步實施電信網絡詐騙活動的“跳板”�����。
IT之家匯總有關該病毒的介紹如下:
病毒感染特征
1.釣魚主題特征
攻擊者使用的釣魚誘餌主題高度貼合我國社會和經濟活動的周期性事件。結合第一季度特點�����,攻擊者刻意強調“企業所得稅”“第一季度”“稅務稽查”“匯算清繳”“3?15 曝光”“清明節放假”等關鍵詞����,甚至偽造政府部門通知(如下圖所示),借此使潛在受害者增加緊迫感和好奇心從而放松警惕�����,進而下載和運行具有迷惑性的木馬病毒文件��。
2.病毒文件特征
本次發現的系列木馬病毒文件名與釣魚信息具有高度一致性。如下圖所示�����。
本次發現的系列木馬病毒與“銀狐”木馬病毒此前的文件格式特點一致��,均以 RAR、ZIP 等壓縮格式為主��,但大多數并未設置密碼口令�����,解壓縮后會釋放與壓縮文件同名或相仿的 EXE 可執行程序或 DLL 動態鏈接庫文件��。網絡安全管理員可訪問國家計算機病毒應急處理中心官方網站(www.cverc.org.cn)查看預警報告原文,并通過國家計算機病毒協同分析平臺(virus.cverc.org.cn)獲得相關病毒樣本的詳細信息��。
主要危害
攻擊者發動本次系列病毒木馬攻擊活動的主要目的仍然是通過木馬病毒控制大量受害者主機�����,并竊取相關單位敏感數據和公民個人信息����。
同時也發現����,由于近期我國企事業單位和個人用戶在人工智能應用,特別是人工智能大模型的本地化部署方面的投入大量增加��,攻擊者還會針對性地根據受害主機的配置情況�����,投送惡意“挖礦”病毒��,盜竊用戶高性能計算機的算力“挖掘”比特幣等加密數字貨幣以非法牟利��。
防范措施
臨近五一假期����,國家計算機病毒應急處理中心提示廣大企事業單位和個人網絡用戶持續保持針對各類電信網絡詐騙活動的警惕性和防范意識�����。結合本次發現的系列木馬病毒傳播活動的相關特點����,建議廣大用戶采取以下防范措施:
不要輕信微信群�����、QQ 群或其他社交媒體軟件[IT江湖]中傳播的所謂政府機關和公共管理機構發布的“工作通知”“放假安排”“補貼政策”及相關工作文件和官方程序(或相應下載鏈接和二維碼)����,應通過官方渠道進行核實�����。
針對類似此次傳播的系列木馬病毒����,用戶可將壓縮包和解壓后的可疑文件先行上傳至國家計算機病毒協同分析平臺(virus.cverc.org.cn)進行安全性檢測�����,并保持防病毒軟件[IT江湖]實時監控功能開啟,將電腦[IT江湖]操作系統和防病毒軟件[IT江湖]更新到最新版本�����。
一旦用戶遭遇以下異常狀況��,應立即主動切斷計算機設備網絡連接�����,對重要數據進行遷移和備份��,并對相關設備進行停用直至通過系統重裝或還原、完全的安全檢測和安全加固后方可繼續使用。
(1)操作系統的安全功能和防病毒軟件[IT江湖]在非自主操作情況下被異常關閉�����;
(2)在排除硬件故障且用戶沒有主動運行大型應用程序的情況下��,電腦[IT江湖]的性能突然嚴重下降且系統資源占用率長時間居高不下�����;
(3)社交媒體或電子郵件等網絡應用程序提示用戶賬戶出現異常登錄或反復收到網絡服務商發來的登錄驗證碼等異常情況。
來源:IT之家
