今天小编分享的科技经验:“银狐”病毒出现新变种:伪装成税务内容、放假安排的恶意程式,欢迎阅读。
IT 之家 4 月 25 日消息,据央视新闻今日报道,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台(virus.cverc.org.cn)在我国境内连续捕获一系列针对我国网络用户,特别是财务和税务工作人员用户的木马病毒。
这些病毒的檔案名称与 2025 年" 税务稽查 "" 所得税汇算清缴 "" 放假安排 "等诱饵主题相关,实际为恶意可执行程式,全部针对 Windows 平台用户,主要通过社交媒体中转发的钓鱼网页链接进行传播。
经过分析后发现这些病毒均为 " 银狐 "(又名:" 游蛇 "" 谷堕大盗 " 等)家族木马病毒变种,如果用户运行相关恶意程式檔案,将被攻击者实施远程控制、窃密、挖矿等恶意操作,并可能被利用充当进一步实施电信网络诈骗活动的 " 跳板 "。
IT 之家汇总有关该病毒的介绍如下:
病毒感染特征 1. 钓鱼主题特征
攻击者使用的钓鱼诱饵主题高度贴合我国社会和经济活动的周期性事件。结合第一季度特点,攻击者刻意强调 " 企业所得税 "" 第一季度 "" 税务稽查 "" 汇算清缴 ""3・15 曝光 "" 清明节放假 " 等关键词,甚至伪造政府部门通知(如下图所示),借此使潜在受害者增加紧迫感和好奇心从而放松警惕,进而下载和运行具有迷惑性的木马病毒檔案。
2. 病毒檔案特征
本次发现的系列木马病毒檔案名与钓鱼信息具有高度一致性。如下图所示。
本次发现的系列木马病毒与 " 银狐 " 木马病毒此前的檔案格式特点一致,均以 RAR、ZIP 等压缩格式为主,但大多数并未設定密码口令,解压缩后会释放与压缩檔案同名或相仿的 EXE 可执行程式或 DLL 动态链接库檔案。网络安全管理员可访问国家计算机病毒应急处理中心官方网站(www.cverc.org.cn)查看预警报告原文,并通过国家计算机病毒协同分析平台(virus.cverc.org.cn)获得相关病毒样本的详细信息。
主要危害
攻击者发动本次系列病毒木马攻击活动的主要目的仍然是通过木马病毒控制大量受害者主机,并窃取相关部門敏感数据和公民个人信息。
同时也发现,由于近期我国企事业部門和个人用户在人工智能应用,特别是人工智能大模型的本地化部署方面的投入大量增加,攻击者还会针对性地根据受害主机的配置情况,投送恶意 " 挖矿 " 病毒,盗窃用户高性能计算机的算力 " 挖掘 " 比特币等加密数字货币以非法牟利。
防范措施
临近五一假期,国家计算机病毒应急处理中心提示广大企事业部門和个人网络用户持续保持针对各类电信网络诈骗活动的警惕性和防范意识。结合本次发现的系列木马病毒传播活动的相关特点,建议广大用户采取以下防范措施:
不要轻信微信群、QQ 群或其他社交媒体軟體中传播的所谓政府机关和公共管理机构发布的 " 工作通知 "" 放假安排 "" 补贴政策 " 及相关工作檔案和官方程式(或相应下载链接和二维码),应通过官方渠道进行核实。针对类似此次传播的系列木马病毒,用户可将压缩包和解压后的可疑檔案先行上传至国家计算机病毒协同分析平台(virus.cverc.org.cn)进行安全性检测,并保持防病毒軟體实时监控功能开启,将电腦作業系統和防病毒軟體更新到最新版本。一旦用户遭遇以下异常状况,应立即主动切断计算机设备网络连接,对重要数据进行迁移和备份,并对相关设备进行停用直至通过系统重装或还原、完全的安全检测和安全加固后方可继续使用。
(1)作業系統的安全功能和防病毒軟體在非自主操作情况下被异常关闭;
(2)在排除硬體故障且用户没有主动运行大型应用程式的情况下,电腦的性能突然严重下降且系统资源占用率长时间居高不下;
(3)社交媒体或电子邮件等网络应用程式提示用户账户出现异常登录或反复收到网络服务商发来的登录验证码等异常情况。
一旦发现微信、QQ 或其他社交媒体軟體发生被盗现象,应向亲友和所在部門同事告知相关情况,并通过相对安全的设备和网络环境修改登录密码,并对自己常用的计算机和移动通信设备进行杀毒和安全检查,如反复出现账号被盗情况,应在备份重要数据的前提下,考虑重新安装作業系統和防病毒軟體并更新到最新版本。
