12 月 20 日消息，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心今日宣布，與計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室依托國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)在我國(guó)境內(nèi)再次捕獲發(fā)現(xiàn)針對(duì)我國(guó)用戶(hù)的“銀狐”（又名“游蛇”、“谷墮大盜”）木馬病毒的最新變種。

相關(guān)病毒傳播案例

近日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室依托國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)在我國(guó)境內(nèi)再次捕獲發(fā)現(xiàn)針對(duì)我國(guó)用戶(hù)的“銀狐”木馬病毒的最新變種。在本次傳播過(guò)程中，攻擊者繼續(xù)通過(guò)構(gòu)造財(cái)務(wù)、稅務(wù)違規(guī)稽查通知等主題的釣魚(yú)信息和收藏鏈接，通過(guò)微信群直接傳播包含該木馬病毒的加密壓縮包文件。

名為“筆記”等字樣的收藏鏈接指向文件名為“違規(guī)-記錄（1）.rar”等壓縮包文件，用戶(hù)按照釣魚(yú)信息給出的解壓密碼解壓壓縮包文件后，會(huì)看到以“開(kāi)票-目錄.exe”、“違規(guī)-告示.exe”等命名的可執(zhí)行程序文件，這些可執(zhí)行程序?qū)嶋H為“銀狐”遠(yuǎn)控木馬家族于 12 月更新傳播的最新變種程序。如果用戶(hù)運(yùn)行相關(guān)惡意程序文件，將被攻擊者實(shí)施遠(yuǎn)程控制、竊密等惡意操作，并可能被犯罪分子利用充當(dāng)進(jìn)一步實(shí)施電信網(wǎng)絡(luò)詐騙活動(dòng)的“跳板”。

病毒感染特征

釣魚(yú)信息特征

本次發(fā)現(xiàn)攻擊者使用的釣魚(yú)信息仍然以偽造官方通知為主。結(jié)合年末特點(diǎn)，攻擊者刻意強(qiáng)調(diào)“12 月”、“稽查”、“違規(guī)”等關(guān)鍵詞，借此使?jié)撛谑芎φ咴黾泳o迫感從而放松警惕。在釣魚(yú)信息之后，攻擊者繼續(xù)發(fā)送附帶所謂的相關(guān)工作文件的釣魚(yú)鏈接。

文件特征

• 文件名：對(duì)于本次發(fā)現(xiàn)的新一批變種，犯罪分子繼續(xù)將木馬病毒程序的文件名設(shè)置為與財(cái)稅、金融管理等相關(guān)工作具有密切聯(lián)系的名稱(chēng)，以引誘相關(guān)崗位工作人員點(diǎn)擊下載運(yùn)行，如：“開(kāi)票-目錄”、“違規(guī)-記錄”、“違規(guī)-告示”等。此次發(fā)現(xiàn)的新變種仍然只針對(duì)安裝 Windows 操作系統(tǒng)的傳統(tǒng) PC 環(huán)境，犯罪分子也會(huì)在釣魚(yú)信息中使用“請(qǐng)使用電腦版”等話(huà)術(shù)進(jìn)行有針對(duì)性的誘導(dǎo)提示。
• 文件格式：本次發(fā)現(xiàn)的新變種以 RAR、ZIP 等壓縮格式（內(nèi)含 EXE 可執(zhí)行程序）為主，與之前變種不同的是，此次攻擊者為壓縮包設(shè)置了解壓密碼，并在釣魚(yú)信息中進(jìn)行提示告知，以逃避社交媒體軟件和部分安全軟件的檢測(cè)，使其具有更強(qiáng)的傳播能力。
• 文件 HASH：34101194d27df8bc823e339d590e18f2

進(jìn)程特征 

木馬病毒被安裝運(yùn)行后，會(huì)在操作系統(tǒng)中創(chuàng)建新進(jìn)程，進(jìn)程名與文件名相同，并從回聯(lián)服務(wù)器下載其他惡意代碼直接在內(nèi)存中加載執(zhí)行。

網(wǎng)絡(luò)通信特征     

回聯(lián)地址為：156.***.***.90，端口號(hào)為：1217

命令控制服務(wù)器（C2）域名為：mm7ja.*****. cn，端口號(hào)為：6666

網(wǎng)絡(luò)安全管理員可根據(jù)上述特征配置防火墻策略，對(duì)異常通信行為進(jìn)行攔截。其中與 C2 地址的通信過(guò)程中，攻擊者會(huì)收集受害主機(jī)的操作系統(tǒng)信息、網(wǎng)絡(luò)配置信息、USB 設(shè)備信息、屏幕截圖、鍵盤(pán)記錄、剪切板內(nèi)容等敏感數(shù)據(jù)。

其他特征

本次發(fā)現(xiàn)的新變種還具有主動(dòng)攻擊安全軟件的功能，試圖通過(guò)模擬用戶(hù)鼠標(biāo)鍵盤(pán)操作關(guān)閉防病毒軟件。

防范措施

• 不要輕信微信群、QQ 群或其他社交媒體軟件中傳播的所謂政府機(jī)關(guān)和公共管理機(jī)構(gòu)發(fā)布的通知及相關(guān)工作文件和官方程序（或相應(yīng)下載鏈接），應(yīng)通過(guò)官方渠道進(jìn)行核實(shí)。
• 帶密碼的加密壓縮包并不代表內(nèi)容安全，針對(duì)類(lèi)似此次傳播的“銀狐”木馬病毒加密壓縮包文件的新特點(diǎn)，用戶(hù)可將解壓后的可疑文件先行上傳至國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)進(jìn)行安全性檢測(cè)，并保持防病毒軟件實(shí)時(shí)監(jiān)控功能開(kāi)啟，將電腦操作系統(tǒng)和防病毒軟件更新到最新版本。
• 一旦發(fā)現(xiàn)電腦操作系統(tǒng)的安全功能和防病毒軟件在非自主操作情況下被異常關(guān)閉，應(yīng)立即主動(dòng)切斷網(wǎng)絡(luò)連接，對(duì)重要數(shù)據(jù)進(jìn)行遷移和備份，并對(duì)相關(guān)設(shè)備進(jìn)行停用直至通過(guò)系統(tǒng)重裝或還原、完全的安全檢測(cè)和安全加固后方可繼續(xù)使用。
• 一旦發(fā)現(xiàn)微信、QQ 或其他社交媒體軟件發(fā)生被盜現(xiàn)象，應(yīng)向親友和所在單位同事告知相關(guān)情況，并通過(guò)相對(duì)安全的設(shè)備和網(wǎng)絡(luò)環(huán)境修改登錄密碼，對(duì)自己常用的計(jì)算機(jī)和移動(dòng)通信設(shè)備進(jìn)行殺毒和安全檢查，如反復(fù)出現(xiàn)賬號(hào)被盜情況，應(yīng)在備份重要數(shù)據(jù)的前提下，考慮重新安裝操作系統(tǒng)和防病毒軟件并更新到最新版本。