关于防范“银狐”系列木马病毒及仿冒钓鱼网站的安全预警通报

发布时间:2026年06月16日     撰稿人:陈亮君     编辑:张莉     浏览次数:

各位老师、同学:

近日,国家计算机病毒应急处理中心及我市教育应用安全监测平台发布预警,发现针对用户的“银狐”(又名“游蛇”“谷堕大盗”)系列木马病毒正通过仿冒钓鱼网站、钓鱼邮件/即时通讯文件等方式大规模传播,形成“网络钓鱼→木马下载→进程注入→远程控制”的完整攻击链,对师生信息安全与设备安全造成严重威胁。现将相关情况及防范建议通报如下:

一、攻击活动概况

(一)钓鱼网站传播特征

仿冒目标集中:主要伪装成WPS、Chrome浏览器等办公/常用软件下载页面,占比超77%,极易诱导师生点击下载。

批量注册特征明显:攻击者利用AI工具快速生成标准化钓鱼页面,短时间内批量注册大量相似域名,最快一分钟内注册15条相关域名。

域名伪装手法:大量使用hl.cn、com.cn等国内域名后缀,并通过字母重复、缺字、错拼(如kn-wps.com.cn)等方式混淆视听。

流量诱导手段:通过Bing搜索引擎SEO投递,仅允许来自搜索引擎的访问,直接访问域名会跳转至不可访问页面,逃避安全分析。

(二)木马文件伪装与传播特征

文件名诱导:大量采用人事业务相关的诱导性文件名,如“XX季度违纪名单”“通报人员信息”“裁员名单”“补偿方案”等,并将图标伪装成文件夹、快捷方式、回收站等,同时添加.pdf后缀迷惑用户(实际为.exe可执行文件)。

文件操作行为:木马运行后,会在C:\Program Files\Internet Explorer\文件夹下投放log.dll等恶意载荷文件,由installer.exe加载执行,为下一步攻击做准备。

网络通讯特征:病毒样本会主动外联http://[域名]:8880/、http://[域名]:8880/getinstall64等地址,接收远程控制指令。

(三)木马攻击流程

木马投递:钓鱼网站提供携带恶意程序的压缩包下载链接,或通过即时通讯工具/邮件发送伪装成文档的恶意可执行文件,恶意资源多存储于境外云存储平台,通过多层跳转迷惑用户。

系统进程注入:样本运行后,会将恶意Shellcode注入ctfmon.exe、svchost.exe等系统关键进程,以合法进程为掩护隐蔽运行。

远程控制:被注入进程主动外联境外C2服务器(通信端口主要为443、22),接收攻击者指令,实现数据窃取、文件操作、持久化驻留等恶意行为。

二次危害:受害设备可能被用作“跳板”,进一步实施电信网络诈骗等违法活动。

二、核心防范建议

(一)下载与访问安全

认准官方渠道:软件下载优先访问官方网站(如WPS官网www.wps.cn)或手机/电脑官方应用商店,切勿点击搜索引擎中带有乱码前缀、拼接拼写的可疑域名链接。

警惕广告链接:对搜索引擎中标注“广告”的下载链接保持高度警惕,优先选择自然排名的官方结果。

核验页面真实性:发现页面布局生硬、HTML注释规整、内容与官方版本不一致时,立即关闭页面。

(二)文件接收与处理安全

警惕敏感主题文件:在微信、QQ、钉钉等即时通讯工具或电子邮件中,警惕“违纪”“裁员”“补偿”等主题文件,拒绝点击陌生人发送的文件,对本单位同事发送的相关文件应与本人或正式渠道核实。

核验文件真实格式:不要被.pdf等伪装后缀迷惑,开启系统“显示文件扩展名”功能,发现.pdf.exe等双重后缀文件时,直接删除。

可疑文件先检测:将可疑的文档、可执行文件、压缩包文件先上传至国家计算机病毒协同分析平台(https://virus.cverc.org.cn)进行安全检测,确认安全后再打开。

(三)设备与系统防护

开启实时防护:全程启用杀毒软件实时防护功能,定期进行全盘安全扫描,及时更新系统与常用软件安全补丁。

关注设备状态:留意设备流量使用与运行状态,若发现异常网络流量、陌生后台进程或不明程序自启动,立即排查风险。

隔离感染设备:若发现设备疑似感染“银狐”木马,第一时间断网隔离,避免数据进一步泄露。

(四)应急处置与账号安全

账号安全加固:一旦发现即时通讯工具或电子邮件账号被盗用,立即停止使用可能感染病毒的计算机设备,断开网络连接。

系统深度查杀:使用杀毒软件进行深度查杀,清除恶意程序。

及时上报与告知:向单位网络安全管理员、相关同事和亲友告知相关情况,在备份重要数据的前提下,对相关计算机设备进行杀毒和安全检查。

强化口令强度:更换常用口令,使用包含字母、数字、特殊字符的高强度密码,避免使用简单密码或重复密码。

校园网络安全需要每一位师生的共同守护,请大家提高警惕,规范操作,共同抵御网络威胁,保障个人信息与设备安全。


一审:王帆

二审:陈婉

三审:张钦