文章总结: 国家计算机病毒应急处理中心预警显示‘银狐’木马新变种以人事文件为诱饵,通过企业微信等渠道定向攻击国内企业员工。该变种伪装成违纪名单、裁员补偿等文件,运行后释放log.dll并通过installer.exe加载,连接8880端口C2服务器实现远程控机、数据窃取及诈骗跳板功能。建议个人不点击陌生附件、企业部署EDR并开展员工培训,可疑文件可上传至国家病毒分析平台检测。 综合评分: 87 文章分类: 恶意软件,漏洞预警,安全意识,应急响应,威胁情报
“银狐”木马新变种爆发!伪装人事文件定向攻击国内用户
看雪学苑 看雪学苑
看雪学苑
2026年5月21日 18:06 上海
在小说阅读器读本章
去阅读
5月21日,国家计算机病毒应急处理中心正式发布预警:“银狐”(又名“游蛇”“谷堕大盗”“UTG-Q-1000”“Silver Fox”等)木马家族出现最新变种,正以人事敏感话题为诱饵,通过企业微信、微信群、邮件等渠道大规模传播,定向攻击国内企事业单位员工,尤其HR、行政及全员,运行后可远程控机、窃取隐私数据,还会沦为电信诈骗跳板,危害极大。
攻击特征:伪装极强,双击即沦陷
文件名伪装(精准拿捏职场心理)
新变种全部采用高诱导性人事相关文件名,常见如下:
- 《2026年第二季度违纪名单.zip》
- 《裁员补偿方案(内部版).pdf》
- 《违纪通报人员信息表.exe》
- 《内部调查结果(保密).lnk》
图标伪装(视觉欺骗,极易误点)
将恶意程序图标伪装成文件夹、PDF文档、回收站、快捷方式等日常办公常见样式,甚至添加“.pdf”后缀迷惑,普通用户肉眼难以区分。
技术特征(隐蔽性强,难查杀)
-
运行路径:释放载荷至
C:\Program Files\Internet Explorer\目录 -
核心文件:
log.dll(加载器),通过正常系统文件installer.exe加载,绕过杀软检测 -
通信特征:主动回联8880端口恶意C2服务器,接收黑客远程指令
核心危害:不止窃密,更成诈骗工具
-
远程完全控制:黑客可实时查看屏幕、操作鼠标键盘、开启摄像头麦克风
-
敏感信息窃取:盗取办公文档、账号密码、通讯录、财务数据等核心资料
-
沦为诈骗跳板:利用中招设备发送钓鱼消息、诈骗链接,冒充本人向亲友借钱
-
长期潜伏扩散:植入后门持久化驻留,静默感染同网段其他设备,扩大受害范围
个人+企业紧急防范措施
个人用户:牢记“三不原则”
-
不打开:绝不点击微信群、企业微信、邮件中陌生人事相关附件(违纪、裁员、补偿、内部调查等)
-
不轻信:即使是同事发送,也务必电话或当面核实,警惕临时群聊陌生文件
-
不关闭:全程开启杀毒软件与防火墙,禁用Office宏,不随意关闭安全提示
企业用户:技术+管理双防护
-
邮件/网关过滤:设置关键词拦截(违纪、裁员、补偿等),筛查可疑附件
-
终端加固:部署EDR系统,监控“白文件加载异常DLL”“8880端口外联”等行为
-
员工培训:重点针对HR、财务、行政等高风险岗位,开展钓鱼识别专项演练
-
应急处置:发现异常立即断网隔离,全盘扫描清除恶意文件,重置账号密码
官方检测渠道
怀疑文件可疑?可免费上传至 国家计算机病毒协同分析平台(https://virus.cverc.org.cn)进行权威检测。
“银狐”木马长期紧盯国内用户,变种快、伪装强、危害大,本次人事主题新变种更是精准利用职场焦虑诱导点击。安全无小事,警惕陌生文件,守住点击“红线”,才能避免设备中招、信息泄露!
资讯来源:国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室
球分享
球点赞
球在看
点击阅读原文查看更多
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:看雪学苑 看雪学苑 看雪学苑《“银狐”木马新变种爆发!伪装人事文件定向攻击国内用户》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论