近日，国家计算机病毒应急处理中心发现了一种名为“银狐”的木马病毒新变种，攻击者利用伪造的财务、税务等主题钓鱼网页，通过微信群传播病毒下载链接。该病毒主要通过伪造的官方通知诱导用户下载，文件格式以MSI安装包和ZIP、RAR压缩包为主，并会在系统中注册服务实现开机自启动。此外，病毒还会收集受害主机的信息并发送到C2服务器。为了避免感染，用户应提高警惕，不要轻易点击不明链接，并及时更新杀毒软件，对可疑文件进行检测。

🤔钓鱼信息特征：攻击者通过社交媒体或邮件发送伪造的官方通知，主题多涉及财税、金融等领域，并附带病毒下载链接，诱导用户点击。

📁文件特征：木马病毒文件名称通常与财税、金融管理相关，文件格式主要为MSI安装包和ZIP、RAR压缩包，且具有特定的文件HASH值(如cf8088b59ee684cbd7d43edcc42b2eec)。

⚙️系统驻留特征：木马病毒安装后，会在系统中注册名为“UserDataSvc_[字母与数字随机组合]”的服务，实现开机自启动和持久驻留。

📡网络通信特征：病毒会将受害主机操作系统信息、用户名、CPU信息、内存信息以及内网IP地址等数据发送到特定的C2服务器(154.**.**.95)。

IT之家 11 月 25 日消息，近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室通过监测发现木马病毒最新变种 ——“银狐”（IT之家注：又名“游蛇”、“谷堕大盗”）。攻击者虚构财务、税务等主题的钓鱼网页，通过微信群传播病毒下载链接。

病毒感染的 4 大特征

钓鱼信息特征：钓鱼信息可通过社交媒体或电子邮件发送，信息通常为犯罪分子伪造的官方通知，主题通常涉及财税或金融管理等最新政策和工作通知等，并附下载链接。

文件特征：

文件名：犯罪分子通常会将木马病毒程序的文件名设置为与财税、金融管理部门相关工作具有显著关联，且对相关岗位工作人员具有较高辨识度的名称。

文件格式：目前已知的该木马病毒常用文件格式以 MSI 安装包格式和 ZIP、RAR 等压缩包格式为主。

文件 HASH：cf8088b59ee684cbd7d43edcc42b2eec，f3cad147e35f236772b5e10f4292ba6e。

系统驻留特征：木马病毒被安装后，会在操作系统中注册名为“UserDataSvc_[字母与数字随机组合]”的系统服务，实现开机自启动和持久驻留。

网络通信特征：回联地址为：154.**.**.95 命令控制服务器（C2），域名为：8848.*********.zip。其中与 C2 地址的通信内容中，会包含受害主机的操作系统信息、用户名 CPU 信息、内存信息以及内网 IP 地址等数据。

防范措施：

不要轻信微信群、QQ 群或其他社交媒体软件中传播的所谓政府主管部门或金融机构发布的通知，应通过官方渠道进行核实。

不要从微信群、QQ 群或其他社交媒体软件的聊天群组中传播的网络链接（或二维码）下载所谓的官方程序。

一旦发现社交媒体软件被盗，应告知相关情况，并修改登录密码，并对设备进行杀毒和安全检查。

对安全性未知的可疑文件，可访问国家计算机病毒协同分析平台进行提交检测。