文章总结： 国家计算机病毒应急处理中心发布预警称捕获针对我国用户的银狐木马病毒新变种，该病毒伪装成内部调查结果、违纪名单等文档文件，通过钓鱼邮件和即时通讯工具传播，运行后会在系统目录投放恶意载荷实现远程控制。攻击主要针对企业人事工作人员，目的是窃取敏感数据用于电信诈骗。建议用户警惕可疑文件、使用病毒分析平台检测、保持杀毒软件更新，发现异常后立即断网排查。 综合评分： 92 文章分类： 恶意软件,威胁情报,漏洞预警,安全意识,终端安全

关于针对我国用户的“银狐”系列木马病毒攻击活动的预警报告

老李的信息化自留地

2026年5月21日 20:18 山东

在小说阅读器读本章

去阅读

编者荐语：

关于银狐官方声明终于来了

以下文章来源于国家计算机病毒应急处理中心 ，作者CVERC

国家计算机病毒应急处理中心 .

集专业与趣味的官方账号，致力于守护您的安全。

一

基本情况

近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台（https://virus.cverc.org.cn）捕获多个文件名中包含“内部调查结果”“违纪名单”“违纪通报信息”“裁员补偿”等词汇的恶意程序，这些恶意程序表面上伪装成快捷方式、文件夹、文档文件或压缩包文件，实际为针对Windows平台用户的远程控制木马病毒。经分析，发现这些木马病毒均为针对我国用户的“银狐”(又名“游蛇”“谷堕大盗”“UTG－Q－1000”“Silver Fox”等）木马病毒攻击活动的最新变种。如果用户不慎运行相关恶意程序文件，将被攻击者实施远程控制、窃密等恶意操作，并可能被网络犯罪分子利用充当进一步实施电信网络诈骗活动的“跳板”。

图1 攻击活动过程示意图

二

病毒特征

1. 文件名特征

本次发现的木马病毒新变种继续采用钓鱼欺诈手段，大量采用人事业务相关的诱导性文件名，文件名以“XX季度违纪名单”“通报人员信息”“裁员名单”“补偿方案”等为主，并将图标伪装成文件夹、快捷方式、回收站等，并添加“pdf”后缀迷惑用户。如图2所示。

图2 相关病毒样本

2. 文件操作特征

木马病毒运行后，会在“C:\Program Files\Internet Explorer\”文件夹下投放下一步所需的载荷文件。其中关键文件log.dll为下一步运行的加载器，该dll文件通过白文件installer.exe进行加载，如图3所示。

图3 投放下一阶段恶意载荷

3. 网络通信特征

本次发现的病毒样本具有相似的网络通信特征，回联地址URL特征如下所示：

http://[域名]:8880/

http://[域名]:8880/getinstall64

单位网络安全管理员可通过附录获取更多相关特征，并可通过国家计算机病毒协同分析平台（https://virus.cverc.org.cn）查询相关病毒样本的详细信息。

三

防范措施

“银狐”系列木马病毒攻击活动与电信网络诈骗活动联系密切，长期将我国用户作为攻击目标，具有变种速度快、隐蔽性强等特点。本次发现的病毒木马攻击活动的攻击目标较为广泛，重点针对具有一定规模的组织机构工作人员，特别是人事相关业务工作人员，主要目的仍然是通过木马病毒控制大量受害者主机，窃取受害企业敏感数据和公民个人信息，进而实施勒索或欺诈。建议采取以下综合防范措施：

01

在使用即时通讯工具（如：微信、QQ、钉钉、飞书等）或电子邮件处理工作事务期间，警惕新增临时工作群组和电子邮件中传播的“违纪”“裁员”等相关主题文件，拒绝点击陌生人发送的文件，对本单位或外单位同事发送的相关文件应与其本人或正式渠道核实。

02

用户可将可疑的文档文件、可执行文件、压缩包文件或解压后的可疑文件先行上传至国家计算机病毒协同分析平台（https://virus.cverc.org.cn）进行安全检测，并保持防病毒软件实时监控功能开启，将计算机操作系统和防病毒软件更新到最新版本。

03

一旦发现本人即时通讯工具或电子邮件发生被盗用现象，应立即停止使用可能感染病毒的计算机设备，将其断开网络链接，并向单位网络管理员、相关同事和亲友告知相关情况，在备份重要数据的前提下，对相关计算机设备进行杀毒和安全检查，更换常用口令且应具有较高强度。

本预警报告得到了安天科技集团股份有限公司、北京瑞星网安技术股份有限公司、奇安信科技集团股份有限公司、北京神州绿盟科技有限公司和计算机病毒防治技术国家工程实验室以及国家计算机病毒协同分析平台各共建单位的技术和信息支持，特此致谢。

点击“阅读原文”查看详细报告

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老李的信息化自留地 《关于针对我国用户的“银狐”系列木马病毒攻击活动的预警报告》