“違紀人員名單.zip”？南陽有人中招！快殺毒！

近期，一種名為“銀狐木馬”（Silver Fox Trojan）的新型木馬病毒正在多個網絡平臺悄然擴散。

該病毒主要面向醫院、高校、企業、政府、及事業單位等行業，已經有不少用戶“中招”，造成社交賬號失控、銀行卡被盜刷、網銀賬戶被洗劫等嚴重后果。“銀狐”是什么？日常如何防范應對？這份指南請查收！

Q

“銀狐”木馬病毒是什么？有哪些特征？

A

銀狐（又名：“游蛇”“谷墮大盜”等）是近年來國內最為流行的一款“遠控與電詐”類木馬。通過微信、QQ、郵件以及偽造工具網站等渠道進行釣魚攻擊，主要面向政府、高校及企事業單位等。

該木馬病毒程序的變種大多只針對安裝Windows操作系統的傳統PC環境，攻擊團伙通過投遞遠控木馬，獲得受害者的計算機控制權限，在系統內長期駐留，監控用戶日常操作，竊取敏感信息或數據，利用受害者的微信、QQ等即時通信軟件來發送具有針對性的釣魚、欺詐類信息，實施釣魚攻擊和詐騙等違法行為，實現病毒的進一步傳播。

Q

“銀狐”木馬在企業內有哪些典型傳播方式？

A

1.定向釣魚郵件

郵件偽裝：通過偽裝成看似合法的發件人身份發送含有惡意附件或鏈接的郵件。如“違紀人員名單信息”為誘餌的病毒文件（附件通常以7z、rar、zip等常見壓縮包格式出現），誘導員工點擊下載，從而控制員工終端，建立群聊；以“夏季防暑降溫費”為誘餌的釣魚鏈接，誘導群內員工點擊惡意鏈接填寫銀行卡號等個人信息，造成員工信息泄露和財產損失。

宏代碼攻擊：如果附件是Office文件，則常常嵌入有惡意宏代碼。一旦啟用宏功能，這些惡意腳本就會被執行，進而下載和安裝木馬程序。

2.偽造應用下載網頁并推廣

假冒合法應用：創建高仿的應用下載頁面，偽裝為熱門工具、游戲或辦公軟件，誘騙受害者下載含有木馬的應用程序。

搜索引擎廣告投放：通過購買廣告位或優化搜索引擎排名，使偽造頁面出現在搜索結果前列，提高受害者下載惡意程序的概率。

3.網頁掛馬

水坑攻擊：在政企人員頻繁訪問的網站或論壇中植入惡意代碼，受害者一旦訪問，瀏覽器會自動下載并執行木馬程序。

廣告劫持：利用惡意廣告注入技術，在正常網頁的廣告彈窗分發木馬。

4.社交信息

鍵盤和鼠標劫持：通過木馬獲取受害者設備的控制權限，利用受害者的社交軟件（如微信、企業微信、QQ）向其聯系人群發惡意鏈接或文件，達到木馬傳播的目的。

信任鏈攻擊：偽裝為受害者本人發送的消息，增強惡意鏈接的可信度，從而擴散木馬傳播。

5.供應鏈

軟件更新劫持：通過入侵第三方軟件庫，篡改其中的更新包或安裝包，將木馬偽裝為合法軟件的部分功能，借助供應鏈傳播至受害者系統。

外包或合作渠道滲透：利用受感染的外包服務商或合作伙伴的程序或系統，以共享文件或系統集成為媒介傳播木馬。

Q

“銀狐”木馬傳播原因分析

A

①安全意識不足

員工缺乏安全與反詐意識，隨意在互聯網上下載應用軟件；隨意點擊可疑文件和鏈接，未經驗證直接填寫個人銀行卡號、卡內余額、交易密碼等敏感信息。

②通信軟件策略缺陷

軟件端暫未實現對建群頻次限制，被攻擊團伙利用，短時間內大范圍建群；建群后立即禁言、投毒并退群，防止群成員互相提醒，退群后刪除本地聊天記錄與緩存，逃避分析追蹤；異常群聊缺乏后臺統一管控與處置手段，出現異常建群后，尚無法通過后臺撤回消息、解散群聊，特別是群主變更后的群解散工作較為困難（當前采取先定位群內成員信息，再聯系群內成員找到群主，由群主撤回消息解散群聊）。

③技術防護薄弱

部分子企業無終端防護軟件；殺毒軟件不能及時發現新型病毒，病毒文件在終端上能夠正常執行，終端未對可執行文件實施有效的執行權限控制；互聯網安全防護的覆蓋范圍有限，未能全面保護所有下屬單位。對于已納入收口范圍的單位，能夠在發現IOC后第一時間完成全網封禁與攔截，但對于尚未納入收口的單位，仍存在無法在第一時間獲得防護的情況。

Q

日常如何防范？

A

①全流程安全技術防范措施——“技防”

終端防護：企業統一部署安裝新一代終端防護軟件或殺毒軟件，確保防護無死角，并采用集中管理策略，保證病毒庫與特征庫實時更新，做到受控終端斷網隔離；全盤查殺，保留終端樣本；病毒樣本分析，全網封禁并預警；被控終端異常橫向排查。

②日常安全意識防范——“人防”

不輕信：對各種社交平臺上的“補貼”“通知”等敏感主題文件或鏈接不輕信；

不點擊：拒絕打開來源不明的鏈接、二維碼、壓縮包等；

不下載：避免安裝非官方途徑的軟件；

勤關機：離崗必關機；

勤殺毒：保持定期更新病毒庫、掃描殺毒。

③感染應急處理流程

一旦發現電腦操作系統的安全功能和防病毒軟件在非自主操作情況下被異常關閉，微信、QQ或其他社交媒體軟件被盜等現象，應向親友和所在單位同事和負責人告知相關情況，并通過相對安全的設備和網絡環境修改登錄密碼、對自己常用的計算機和移動通信設備進行殺毒和安全檢查。如反復出現賬號被盜情況，應在備份重要數據的前提下，考慮重新安裝操作系統和防病毒軟件并更新到最新版本。

來源：中建六局四建公司微信公眾號

長按識別加南陽家長群：