“银狐”木马出新变种 伪装文件诱骗用户

5月21日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室捕获多款恶意程序。这些程序以“内部调查结果”“违纪名单”“裁员补偿”等为文件名，伪装成常用文件，实为针对Windows用户的远程控制木马，是针对我国用户的“银狐”木马最新变种。用户不慎运行后，设备可能被不法分子远程操控，信息被窃取，还可能成为电信网络诈骗的作案工具。

发现的木马病毒新变种继续采用钓鱼欺诈手段，大量使用与人事业务相关的诱导性文件名，如“XX季度违纪名单”“通报人员信息”“裁员名单”“补偿方案”等，并将图标伪装成文件夹、快捷方式或回收站，添加“pdf”后缀迷惑用户。

木马病毒运行后会在“C:Program FilesInternet Explorer”文件夹下投放下一步所需的载荷文件。其中关键文件log.dll为下一步运行的加载器，通过白文件installer.exe进行加载。

本次发现的病毒样本具有相似的网络通信特征，回联地址URL包括http://[域名]:8880/ 和 http://[域名]:8880/getinstall64。单位网络安全管理员可通过国家计算机病毒协同分析平台（https://virus.cverc.org.cn）查询相关病毒样本的详细信息。

“银狐”系列木马病毒攻击活动与电信网络诈骗活动联系密切，长期将我国用户作为攻击目标，具有变种速度快、隐蔽性强等特点。此次攻击活动主要针对具有一定规模的组织机构工作人员，特别是人事相关业务工作人员，目的是通过木马病毒控制大量受害者主机，窃取敏感数据和公民个人信息，进而实施勒索或欺诈。