全部针对Windows用户！我国境内捕获银狐木马病毒变种：远程控制、窃密

摘要： 4月25日消息，今日，据国家计算机病毒应急处理中心公众号介绍，近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在...

4月25日消息，今日，据国家计算机病毒应急处理中心公众号介绍，近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内连续捕获一系列针对我国网络用户，特别是财务和税务工作人员用户的木马病毒。

据介绍，这些病毒文件名称与2025年税务稽查所得税汇算清缴放假安排等诱饵主题相关，实际为恶意可执行程序，全部针对Windows平台用户，主要通过社交媒体中转发的钓鱼网页链接进行传播。

经过分析后发现这些病毒均为银狐（又名：游蛇谷堕大盗等）家族木马病毒变种。

如果用户运行相关恶意程序文件，将被攻击者实施远程控制、窃密、挖矿等恶意操作，并可能被利用充当进一步实施电信网络诈骗活动的跳板。

病毒感染特征

1、钓鱼主题特征

攻击者使用的钓鱼诱饵主题高度贴合我国社会和经济活动的周期性事件。

结合第一季度特点，攻击者刻意强调企业所得税第一季度税务稽查汇算清缴315曝光清明节放假等关键词，甚至伪造政府部门通知（如下图所示），借此使潜在受害者增加紧迫感和好奇心从而放松警惕，进而下载和运行具有迷惑性的木马病毒文件。

2、病毒文件特征

本次发现的系列木马病毒文件名与钓鱼信息具有高度一致性。如下图所示。

本次发现的系列木马病毒与银狐木马病毒此前的文件格式特点一致，均以RAR、ZIP等压缩格式为主，但大多数并未设置密码口令，解压缩后会释放与压缩文件同名或相仿的EXE可执行程序或DLL动态链接库文件。

网络安全管理员可访问国家计算机病毒应急处理中心官方网站查看预警报告原文，并通过国家计算机病毒协同分析平台获得相关病毒样本的详细信息。

据了解，攻击者发动本次系列病毒木马攻击活动的主要目的仍然是通过木马病毒控制大量受害者主机，并窃取相关单位敏感数据和公民个人信息。

针对类似此次传播的系列木马病毒，用户可将压缩包和解压后的可疑文件先行上传至国家计算机病毒协同分析平台进行安全性检测，并保持防病毒软件实时监控功能开启，将电脑操作系统和防病毒软件更新到最新版本。