我国境内再次拿获发现针对我国用户的“银狐”木马病毒的最新变种。在本次传播流程中，抨击者不息通过构造财务、税务违法侦查申诉等主题的垂钓信息和保藏诱惑，通过微信群告成传播包含该木马病毒的加密压缩包文献AG百家乐下载，如图1所示。

 

图1 垂钓信息及压缩包文献

图1中名为“条记”等字样的保藏诱惑指向文献名为“违法-记载（1）.rar”等压缩包文献，用户按照垂钓信息给出的解压密码解压压缩包文献后，会看到以“开票-目次.exe”“违法-秘书.exe”等定名的可实施程小序件，这些可实施方法本色为“银狐”远控木马眷属于12月更新传播的最新变种方法。淌若用户运转关系坏心程小序件，将被抨击者实施而已遗弃、窃密等坏心操作，并可能被违法分子运用充任进一步实施电信聚集欺诈行径的“跳板”。

本次发现抨击者使用的垂钓信息仍然以伪造官方申诉为主。聚积年末脾气，抨击者刻意强调“12月”“侦查”“违法”等过失词，借此使潜在受害者增多要紧感从而减弱警惕。在垂钓信息之后，抨击者不息发送附带所谓的关系使命文献的垂钓诱惑。

关于本次发现的新一批变种，违法分子不息将木马病毒方法的文献名成立为与财税、金融惩办等关系使命具有密切讨论的称号，以诱惑关系岗亭使命主谈主员点击下载运转，如：“开票-目次”“违法-记载”“违法-秘书”等。这次发现的新变种仍然只针对安设Windows操作系统的传统PC环境，违法分子也会在垂钓信息中使用“请使用电脑版”等话术进行有针对性的辅导辅导。

本次发现的新变种以RAR、ZIP等压缩款式（内含EXE可实施方法）为主，与之前变种不同的是，这次抨击者为压缩包成立了解压密码，并在垂钓信息中进行辅导奉告，以隐没外交媒体软件和部分安全软件的检测，使其具有更强的传播智商。木马病毒被安设运转后，会在操作系统中创建新程度，程度名与文献名沟通，ag百家乐九游会并从回联工作器下载其他坏心代码告成在内存中加载实施。

回联地址为：156.***.***.90，端标语为：1217

号召遗弃工作器（C2）域名为：mm7ja.*****.cn，端标语为：6666

聚集安全惩办员可字据上述特征建立防火墙计谋，对很是通讯手脚进行阻止。其中与C2地址的通讯流程中，抨击者会汇集受害主机的操作系统信息、聚集建立信息、USB诱导信息、屏幕截图、键盘记载、剪切板内容等敏锐数据。

本次发现的新变种还具有主动抨击安全软件的功能，试图通过模拟用户鼠标键盘操作关闭防病毒软件。

临连年末，国度筹算机病毒救急处理中心再次辅导雄壮企行状单元和个东谈主聚集用户提升针对千般电信聚集欺诈行径的警惕性和防患知晓，不要应答被违法分子的垂钓话术所辅导。聚积本次发现的银狐木马病毒新变种传播行径的关系脾气，提出雄壮用户选拔以下防患轮番：

不要轻信微信群、QQ群或其他外交媒体软件中传播的所谓政府机关和民众惩办机构发布的申诉及关系使命文献和官方方法（或相应下载诱惑），应通过官方渠谈进行核实。

带密码的加密压缩包并不代表内容安全，针对肖似这次传播的“银狐”木马病毒加密压缩包文献的新脾气，用户可将解压后的可疑文献先行上传至国度筹算机病毒协同分析平台（https://virus.cverc.org.cn）进行安全性检测，并保抓防病毒软件及时监控功能开启，将电脑操作系统和防病毒软件更新到最新版块。

一朝发现电脑操作系统的安全功能和防病毒软件在非自主操作情况下被很是关闭，应立即主动堵截聚集诱惑，对首要数据进行搬动和备份，并对关系诱导进行停用直至通过系统重装或收复、全齐的安全检测和安全加固后方可不息使用。

一朝发现微信、QQ或其他外交媒体软件发生被盗形势，应向亲一又和方位单元共事奉告关系情况，并通过相对安全的诱导和聚集环境修改登录密码，对我方常用的筹算机和搬动通讯诱导进行杀毒和安全搜检，如反复出现账号被盗情况，应在备份首要数据的前提下，研究再行安设操作系统和防病毒软件并更新到最新版块。

• 下载
• 公安部
• 家乐
• ag
• 网安局