危害性更大媒体文件木马攻防实战【危险木马文件】

远程控制、窃密、挖矿！我国境内捕获“银狐”木马病毒变种

关于病毒样本

病毒感染特征1.钓鱼主题特点

攻击者使用的钓鱼诱饵主题与我国社会经济活动的周期性事件高度一致。结合一季度的特点，攻击者刻意强调“企业所得税”、“一季度”、“税务审计”、“账务结算”、“3月15日曝光”、“清明节假期”等关键词，甚至伪造政府部门通知（如下图所示），从而使潜在受害者增加紧迫感和好奇心，放松警惕，进而下载并运行令人困惑的木马病毒文件。

虚假政府部门通知

2、病毒文件的特征

此次发现的该系列木马病毒的文件名与钓鱼信息高度一致。如下图所示。

病毒文件名及图标

此次发现的系列木马病毒与“银狐”木马病毒具有相同的文件格式特征。它们都是基于RAR、ZIP等压缩格式，但大多不设置密码。解压后会释放一个与压缩文件同名或相近的EXE可执行程序或DLL动态链接库文件。网络安全管理员可登录国家计算机病毒应急中心官方网站（www.cverc.org.cn）查看预警报告原文，并通过国家计算机病毒协同分析平台（virus.cverc.org.cn）获取相关病毒样本的详细信息。

主要危害攻击者发起这一系列病毒木马攻击的主要目的仍然是通过木马病毒控制大量受害主机，窃取相关单位敏感数据和公民个人信息。

同时还发现，由于近期我国企事业单位和个人用户对人工智能应用的投入大幅增加，特别是大型人工智能模型的本地部署，攻击者还会根据受害主机的配置投放恶意“挖矿”病毒，窃取用户高性能计算机的算力，“挖矿”比特币等加密货币，获取非法利润。

防范措施五一假期临近，国家计算机病毒应急中心提醒企事业单位、个人网络用户继续保持警惕和防范意识，防范各类电信网络诈骗活动。根据本次发现的该系列木马病毒传播活动的相关特征，建议用户采取以下防范措施：

2、针对此类传播的一系列木马病毒，用户可将压缩包及解压后的可疑文件上传至国家计算机病毒协同分析平台（virus.cverc.org.cn）进行安全检测，保持杀毒软件实时监控功能开启，并将计算机操作系统和杀毒软件更新至最新版本。

3、用户一旦遇到以下异常情况，应立即切断计算机设备的网络连接，迁移备份重要数据，停用相关设备，直至系统重装或恢复、完成安全检测和安全加固后才能继续使用。

（1）非自主运行时操作系统的安全功能、防病毒软件异常关闭；

(2)当硬件故障排除，用户不主动运行大型应用程序时，计算机性能突然严重下降，系统资源占用率长期居高不下；

（3）社交媒体、电子邮件等网络应用提示用户账号登录异常或重复收到网络服务提供商的登录验证码。

4、一旦发现微信、QQ等社交媒体软件被盗，应将情况告知亲友、单位同事，并通过相对安全的设备和网络环境更改登录密码，并对常用的电脑和移动通讯设备进行防病毒和安全检查。如果您的账号多次被盗，您应该在备份重要数据的前提下考虑重新安装操作系统和杀毒软件并更新到最新版本。

远程控制、窃密、挖矿！我国境内捕获“银狐”木马病毒变种

关于病毒样本

病毒感染的特点

1.钓鱼主题特色

攻击者使用的钓鱼诱饵主题与我国社会经济活动的周期性事件高度一致。结合一季度的特点，攻击者刻意强调“企业所得税”、“一季度”、“税务审计”、“账务结算”、“3月15日曝光”、“清明节假期”等关键词，甚至伪造政府部门通知（如下图所示），从而使潜在受害者增加紧迫感和好奇心，放松警惕，进而下载并运行令人困惑的木马病毒文件。

虚假政府部门通知

2、病毒文件的特征

此次发现的该系列木马病毒的文件名与钓鱼信息高度一致。如下图所示。

病毒文件名及图标

此次发现的系列木马病毒与“银狐”木马病毒具有相同的文件格式特征。它们都是基于RAR、ZIP等压缩格式，但大多不设置密码。解压后会释放一个与压缩文件同名或相近的EXE可执行程序或DLL动态链接库文件。网络安全管理员可登录国家计算机病毒应急中心官方网站（www.cverc.org.cn）查看预警报告原文，并通过国家计算机病毒协同分析平台（virus.cverc.org.cn）获取相关病毒样本的详细信息。

主要危害

攻击者发动本次系列病毒木马攻击活动的主要目的仍然是通过木马病毒控制大量受害者主机，并窃取相关单位敏感数据和公民个人信息。同时还发现，由于近期我国企事业单位和个人用户对人工智能应用的投入明显增加，特别是大型人工智能模型的本地化部署，攻击者还会针对性地根据受害主机的配置情况，投送恶意“挖矿”病毒，盗窃用户高性能计算机的算力“挖掘”比特币等加密数字货币以非法牟利。防范措施

五一假期临近，国家计算机病毒应急中心提醒企事业单位和个人网络用户继续提高警惕，防范各类电信网络诈骗活动。根据本次发现的该系列木马病毒传播活动的相关特征，建议用户采取以下防范措施：

2、针对此类传播的一系列木马病毒，用户可将压缩包及解压后的可疑文件上传至国家计算机病毒协同分析平台（virus.cverc.org.cn）进行安全检测，保持杀毒软件实时监控功能开启，并将计算机操作系统和杀毒软件更新至最新版本。

3、用户一旦遇到以下异常情况，应立即切断计算机设备的网络连接，迁移备份重要数据，停用相关设备，直至系统重装或恢复、完成安全检测和安全加固后才能继续使用。

（1）非自主运行时操作系统的安全功能、防病毒软件异常关闭；

(2)当硬件故障排除，用户不主动运行大型应用程序时，计算机性能突然严重下降，系统资源占用率长期居高不下；

（3）社交媒体、电子邮件等网络应用提示用户账号登录异常或重复收到网络服务提供商的登录验证码。

4、一旦发现微信、QQ等社交媒体软件被盗，应将情况告知亲友、单位同事，并通过相对安全的设备和网络环境更改登录密码，并对常用的电脑和移动通讯设备进行防病毒和安全检查。如果您的账号多次被盗，您应该在备份重要数据的前提下考虑重新安装操作系统和杀毒软件并更新到最新版本。

（总台记者陈庆斌）

远程控制、窃密、挖矿！我国境内捕获“银狐”木马病毒变种

关于病毒样本

病毒感染特征1.钓鱼主题特点

攻击者使用的钓鱼诱饵主题与我国社会经济活动的周期性事件高度一致。结合一季度的特点，攻击者刻意强调“企业所得税”、“一季度”、“税务审计”、“账务结算”、“3月15日曝光”、“清明节假期”等关键词，甚至伪造政府部门通知（如下图所示），从而使潜在受害者增加紧迫感和好奇心，放松警惕，进而下载并运行令人困惑的木马病毒文件。

虚假政府部门通知

2、病毒文件的特征

此次发现的该系列木马病毒的文件名与钓鱼信息高度一致。如下图所示。

病毒文件名及图标

此次发现的系列木马病毒与“银狐”木马病毒具有相同的文件格式特征。它们都是基于RAR、ZIP等压缩格式，但大多不设置密码。解压后会释放一个与压缩文件同名或相近的EXE可执行程序或DLL动态链接库文件。网络安全管理员可登录国家计算机病毒应急中心官方网站（www.cverc.org.cn）查看预警报告原文，并通过国家计算机病毒协同分析平台（virus.cverc.org.cn）获取相关病毒样本的详细信息。

主要危害攻击者发动本次系列病毒木马攻击活动的主要目的仍然是通过木马病毒控制大量受害者主机，并窃取相关单位敏感数据和公民个人信息。同时还发现，由于近期我国企事业单位和个人用户对人工智能应用的投入明显增加，特别是大型人工智能模型的本地化部署，攻击者还会针对性地根据受害主机的配置情况，投送恶意“挖矿”病毒，盗窃用户高性能计算机的算力“挖掘”比特币等加密数字货币以非法牟利。防范措施随着五一假期临近，国家计算机病毒应急中心提醒企事业单位和个人网络用户继续保持警惕提高各类电信网络诈骗活动的防范意识。根据本次发现的该系列木马病毒传播活动的相关特征，建议用户采取以下防范措施：

2、针对此类传播的一系列木马病毒，用户可将压缩包及解压后的可疑文件上传至国家计算机病毒协同分析平台（virus.cverc.org.cn）进行安全检测，保持杀毒软件实时监控功能开启，并将计算机操作系统和杀毒软件更新至最新版本。

3、用户一旦遇到以下异常情况，应立即切断计算机设备的网络连接，迁移备份重要数据，停用相关设备，直至系统重装或恢复、完成安全检测和安全加固后才能继续使用。

（1）非自主运行时操作系统的安全功能、防病毒软件异常关闭；

(2)当硬件故障排除，用户不主动运行大型应用程序时，计算机性能突然严重下降，系统资源占用率长期居高不下；

（3）社交媒体、电子邮件等网络应用提示用户账号登录异常或重复收到网络服务提供商的登录验证码。

4、一旦发现微信、QQ等社交媒体软件被盗，应将情况告知亲友、单位同事，并通过相对安全的设备和网络环境更改登录密码，并对常用的电脑和移动通讯设备进行防病毒和安全检查。如果您的账号多次被盗，您应该在备份重要数据的前提下考虑重新安装操作系统和杀毒软件并更新到最新版本。