近日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室通過(guò)監(jiān)測(cè)發(fā)現(xiàn)木馬病毒最新變種 ——“銀狐”(IT之家注：又名“游蛇”、“谷墮大盜”)。攻擊者虛構(gòu)財(cái)務(wù)、稅務(wù)等主題的釣魚(yú)網(wǎng)頁(yè)，通過(guò)微信群傳播病毒下載鏈接。

　　病毒感染的 4 大特征

　　釣魚(yú)信息特征：釣魚(yú)信息可通過(guò)社交媒體或電子郵件發(fā)送，信息通常為犯罪分子偽造的官方通知，主題通常涉及財(cái)稅或金融管理等最新政策和工作通知等，并附下載鏈接。

　　文件特征：

　　文件名：犯罪分子通常會(huì)將木馬病毒程序的文件名設(shè)置為與財(cái)稅、金融管理部門(mén)相關(guān)工作具有顯著關(guān)聯(lián)，且對(duì)相關(guān)崗位工作人員具有較高辨識(shí)度的名稱。

　　文件格式：目前已知的該木馬病毒常用文件格式以 MSI 安裝包格式和 ZIP、RAR 等壓縮包格式為主。

　　文件 HASH：cf8088b59ee684cbd7d43edcc42b2eec，f3cad147e35f236772b5e10f4292ba6e。

　　系統(tǒng)駐留特征：木馬病毒被安裝后，會(huì)在操作系統(tǒng)中注冊(cè)名為“UserDataSvc_[字母與數(shù)字隨機(jī)組合]”的系統(tǒng)服務(wù)，實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)和持久駐留。

　　網(wǎng)絡(luò)通信特征：回聯(lián)地址為：154.**.**.95 命令控制服務(wù)器(C2)，域名為：8848.*********.zip。其中與 C2 地址的通信內(nèi)容中，會(huì)包含受害主機(jī)的操作系統(tǒng)信息、用戶名 CPU 信息、內(nèi)存信息以及內(nèi)網(wǎng) IP 地址等數(shù)據(jù)。

　　防范措施：

　　不要輕信微信群、QQ 群或其他社交媒體軟件中傳播的所謂政府主管部門(mén)或金融機(jī)構(gòu)發(fā)布的通知，應(yīng)通過(guò)官方渠道進(jìn)行核實(shí)。

　　不要從微信群、QQ 群或其他社交媒體軟件的聊天群組中傳播的網(wǎng)絡(luò)鏈接(或二維碼)下載所謂的官方程序。

　　一旦發(fā)現(xiàn)社交媒體軟件被盜，應(yīng)告知相關(guān)情況，并修改登錄密碼，并對(duì)設(shè)備進(jìn)行殺毒和安全檢查。

　　對(duì)安全性未知的可疑文件，可訪問(wèn)國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)進(jìn)行提交檢測(cè)。