11 月 25 日消息，近日，國家計算機病毒應急處理中心和計算機病毒防治技術國家工程實驗室通過監(jiān)測發(fā)現(xiàn)木馬病毒最新變種 ——“銀狐”（又名“游蛇”、“谷墮大盜”）。攻擊者虛構財務、稅務等主題的釣魚網(wǎng)頁，通過微信群傳播病毒下載鏈接。

病毒感染的 4 大特征

釣魚信息特征：釣魚信息可通過社交媒體或電子郵件發(fā)送，信息通常為犯罪分子偽造的官方通知，主題通常涉及財稅或金融管理等最新政策和工作通知等，并附下載鏈接。

文件特征：

• 文件名：犯罪分子通常會將木馬病毒程序的文件名設置為與財稅、金融管理部門相關工作具有顯著關聯(lián)，且對相關崗位工作人員具有較高辨識度的名稱。
• 文件格式：目前已知的該木馬病毒常用文件格式以 MSI 安裝包格式和 ZIP、RAR 等壓縮包格式為主。
• 文件 HASH：cf8088b59ee684cbd7d43edcc42b2eec，f3cad147e35f236772b5e10f4292ba6e。

系統(tǒng)駐留特征：木馬病毒被安裝后，會在操作系統(tǒng)中注冊名為“UserDataSvc_[字母與數(shù)字隨機組合]”的系統(tǒng)服務，實現(xiàn)開機自啟動和持久駐留。

網(wǎng)絡通信特征：回聯(lián)地址為：154.**.**.95 命令控制服務器（C2），域名為：8848.*********.zip。其中與 C2 地址的通信內(nèi)容中，會包含受害主機的操作系統(tǒng)信息、用戶名 CPU 信息、內(nèi)存信息以及內(nèi)網(wǎng) IP 地址等數(shù)據(jù)。

防范措施：

• 不要輕信微信群、QQ 群或其他社交媒體軟件中傳播的所謂政府主管部門或金融機構發(fā)布的通知，應通過官方渠道進行核實。
• 不要從微信群、QQ 群或其他社交媒體軟件的聊天群組中傳播的網(wǎng)絡鏈接（或二維碼）下載所謂的官方程序。
• 一旦發(fā)現(xiàn)社交媒體軟件被盜，應告知相關情況，并修改登錄密碼，并對設備進行殺毒和安全檢查。
• 對安全性未知的可疑文件，可訪問國家計算機病毒協(xié)同分析平臺進行提交檢測。