據(jù)國家計算機病毒應急處理中心網(wǎng)站4月25日消息， 近日，國家計算機病毒應急處理中心和計算機病毒防治技術(shù)國家工程實驗室依托國家計算機病毒協(xié)同分析平臺（virus.cverc.org.cn）在我國境內(nèi)連續(xù)捕獲一系列針對我國網(wǎng)絡用戶，特別是財務和稅務工作人員用戶的木馬病毒。這些病毒的文件名稱與2025年“稅務稽查”、“所得稅匯算清繳”、“放假安排”等誘餌主題相關(guān)，實際為惡意可執(zhí)行程序，全部針對Windows平臺用戶，主要通過社交媒體中轉(zhuǎn)發(fā)的釣魚網(wǎng)頁鏈接進行傳播。經(jīng)過分析后發(fā)現(xiàn)這些病毒均為“銀狐”(又名“游蛇、“谷墮大盜”等）家族木馬病毒變種，如果用戶運行相關(guān)惡意程序文件，將被攻擊者實施遠程控制、竊密、挖礦等惡意操作，并可能被利用充當進一步實施電信網(wǎng)絡詐騙活動的“跳板”。  

圖1 有關(guān)病毒樣本情況

一、病毒感染特征

1. 釣魚主題特征

攻擊者使用的釣魚誘餌主題高度貼合我國社會和經(jīng)濟活動的周期性事件。結(jié)合第一季度特點，攻擊者刻意強調(diào)“企業(yè)所得稅”“第一季度”“稅務稽查”“匯算清繳”“3.15曝光”、“清明節(jié)放假”等關(guān)鍵詞，甚至偽造政府部門通知（如圖2所示），借此使?jié)撛谑芎φ咴黾泳o迫感和好奇心從而放松警惕，進而下載和運行具有迷惑性的木馬病毒文件。  

圖2 偽造的政府部門通知

2.病毒文件特征

1）文件名

本次發(fā)現(xiàn)的系列木馬病毒文件名與釣魚信息具有高度一致性。如圖3所示。    

圖3 病毒文件名稱及圖標

2）文件格式

本次發(fā)現(xiàn)的系列木馬病毒與“銀狐”木馬病毒此前的文件格式特點一致，均以RAR、ZIP等壓縮格式為主，但大多數(shù)并未設置密碼口令，解壓縮后會釋放與壓縮文件同名或相仿的EXE可執(zhí)行程序或動態(tài)鏈接庫（DLL）文件。

3）文件HASH

此次發(fā)現(xiàn)的系列木馬病毒文件HASH列表詳見文末附錄。網(wǎng)絡安全管理員可通過國家計算機病毒協(xié)同分析平臺（virus.cverc.org.cn）獲得相關(guān)病毒樣本的詳細信息。

3.網(wǎng)絡通信特征

回聯(lián)地址列表詳見文末附錄內(nèi)容，網(wǎng)絡安全管理員可根據(jù)相關(guān)特征配置防火墻策略，對異常通信行為進行攔截。

4.其他特征

本次發(fā)現(xiàn)的木馬病毒均采用大體積文件、多層加載、反調(diào)試等逃避檢測和對抗分析技術(shù)，且復雜度較高，以試圖拖慢安全軟件和研究人員的整體分析進度以及繞過沙箱檢測。

二、主要危害

攻擊者發(fā)動本次系列病毒木馬攻擊活動的主要目的仍然是通過木馬病毒控制大量受害者主機，并竊取相關(guān)單位敏感數(shù)據(jù)和公民個人信息。同時也發(fā)現(xiàn)，由于近期我國企事業(yè)單位和個人用戶在人工智能應用，特別是人工智能大模型的本地化部署方面的投入大量增加，攻擊者還會針對性的根據(jù)受害主機的配置情況，投送惡意“挖礦”病毒，盜竊用戶高性能計算機的算力“挖掘”比特幣等加密數(shù)字貨幣以非法牟利。

三、防范措施

臨近五一假期，國家計算機病毒應急處理中心提示廣大企事業(yè)單位和個人網(wǎng)絡用戶持續(xù)保持針對各類電信網(wǎng)絡詐騙活動的警惕性和防范意識。結(jié)合本次發(fā)現(xiàn)的系列木馬病毒傳播活動的相關(guān)特點，建議廣大用戶采取以下防范措施：

1.不要輕信微信群、QQ群或其他社交媒體軟件中傳播的所謂政府機關(guān)和公共管理機構(gòu)發(fā)布的“工作通知”、“放假安排”、“補貼政策”及相關(guān)工作文件和官方程序（或相應下載鏈接和二維碼），應通過官方渠道進行核實。

2.針對類似此次傳播的系列木馬病毒，用戶可將壓縮包和解壓后的可疑文件先行上傳至國家計算機病毒協(xié)同分析平臺 （virus.cverc.org.cn）進行安全性檢測，并保持防病毒軟件實時監(jiān)控功能開啟，將電腦操作系統(tǒng)和防病毒軟件更新到最新版本。

3.一旦用戶遭遇以下異常狀況，應立即主動切斷計算機設備網(wǎng)絡連接，對重要數(shù)據(jù)進行遷移和備份，并對相關(guān)設備進行停用直至通過系統(tǒng)重裝或還原、完全的安全檢測和安全加固后方可繼續(xù)使用。

1）操作系統(tǒng)的安全功能和防病毒軟件在非自主操作情況下被異常關(guān)閉；

2）在排除硬件故障且用戶沒有主動運行大型應用程序的情況下，電腦的性能突然嚴重下降且系統(tǒng)資源占用率長時間居高不下；

3）社交媒體或電子郵件等網(wǎng)絡應用程序提示用戶賬戶出現(xiàn)異常登錄、或反復收到網(wǎng)絡服務商發(fā)來的登錄驗證碼等異常情況。

4.一旦發(fā)現(xiàn)微信、QQ或其他社交媒體軟件發(fā)生被盜現(xiàn)象，應向親友和所在單位同事告知相關(guān)情況，并通過相對安全的設備和網(wǎng)絡環(huán)境修改登錄密碼，并對自己常用的計算機和移動通信設備進行殺毒和安全檢查，如反復出現(xiàn)賬號被盜情況，應在備份重要數(shù)據(jù)的前提下，考慮重新安裝操作系統(tǒng)和防病毒軟件并更新到最新版本。

本預警報告得到了北京瑞星網(wǎng)安技術(shù)股份有限公司、安天科技集團股份有限公司、北京微步在線科技有限公司、三六零數(shù)字安全科技集團有限公司等計算機病毒防治技術(shù)國家工程實驗室和國家計算機病毒協(xié)同分析平臺等各共建單位的技術(shù)和信息支持，特此致謝。