近日,国家计算机病毒应急处理中心与计算机病毒防治技术国家工程实验室,通过国家计算机病毒协同分析平台,捕获了一批文件名极具迷惑性的恶意程序。这些文件的名字里,往往带着“内部调查结果”“违纪名单”“裁员补偿”等字眼,表面上伪装成普通的快捷方式、文件夹、文档或压缩包,实则是不折不扣的远程控制木马。经分析确认,它们都属于长期针对我国用户的“银狐”木马病毒家族(该家族亦被称为“游蛇”“谷堕大盗”等)的最新变种。一旦用户不慎运行,电脑便会被攻击者远程操控、窃取机密,甚至可能沦为网络犯罪分子实施电信反诈的“跳板”。

图1 攻击活动过程示意图
病毒特征
这次发现的变种,在伪装和攻击手法上,呈现出几个值得警惕的特征。
1. 文件名特征
攻击者继续深耕“钓鱼”策略,大量使用与人事、行政业务高度相关的诱导性文件名。诸如“XX季度违纪名单”“通报人员信息”“裁员名单”“补偿方案”等,都是它们常用的幌子。不仅如此,这些恶意程序的图标也被精心伪装成文件夹、快捷方式甚至回收站的样子,并常常附加“.pdf”等常见文档后缀,以进一步迷惑用户。其伪装之逼真,可见一斑。

图2 相关病毒样本
2. 文件操作特征
木马一旦被运行,便会悄悄在系统目录“C:Program FilesInternet Explorer”下投放后续的恶意载荷。其中,一个名为“log.dll”的文件是关键加载器,它会借助系统内合法的白文件“installer.exe”来激活自己,从而实现隐蔽驻留。

图3 投放下一阶段恶意载荷
3. 网络通信特征
本次捕获的样本在网络通信上表现出相似的模式,其回连服务器的地址特征如下:
https://[域名]:8880/
https://[域名]:8880/getinstall64
各单位网络安全管理员可参考附录获取更多相关特征,也可直接访问国家计算机病毒协同分析平台,查询这些病毒样本的详细分析报告。
防范措施
“银狐”系列木马与电信网络反诈活动关联紧密,长期以我国用户为目标,其变种速度快、隐蔽性强的特点一直令人头疼。本次攻击的目标范围较广,尤其针对具有一定规模的组织机构,特别是人事相关岗位的工作人员。攻击者的核心目的,仍然是控制大量主机,窃取企业敏感数据与公民个人信息,最终实施勒索或反诈。
面对这种威胁,被动防御远远不够,必须采取主动、综合的防范策略:
第一,提高工作通讯中的警惕性。在使用微信、QQ、钉钉、飞书等即时通讯工具或电子邮件处理工作时,务必对新建的临时工作群组和邮件中传播的,尤其是涉及“违纪”“裁员”等敏感主题的文件保持高度警惕。坚决不点击陌生人发来的文件,即便是单位同事或外单位合作伙伴发来的相关文件,也应先通过本人或其他正式渠道进行核实。
第二,善用安全工具进行前置检测。对于任何来源可疑的文档、可执行程序、压缩包或其解压后的文件,一个稳妥的做法是,先将其上传至国家计算机病毒协同分析平台进行安全检测。同时,务必确保电脑上的防病毒软件实时监控功能处于开启状态,并将操作系统及安全软件更新至最新版本。
第三,建立明确的应急响应流程。一旦发现自己的通讯账号出现异常登录或被盗用迹象,应立即停止使用可能已感染的设备,并第一时间断开网络连接。随后,及时告知单位的网络管理员、相关同事及亲友,避免风险扩散。在备份好重要数据后,对受感染设备进行全面的病毒查杀与安全检查,并更换所有常用密码,新密码应具备足够的复杂度。
(本预警报告的技术与信息支持,得到了安天科技集团股份有限公司、北京瑞星网安技术股份有限公司、奇安信科技集团股份有限公司、北京神州绿盟科技有限公司、计算机病毒防治技术国家工程实验室以及国家计算机病毒协同分析平台各共建单位的协助,在此一并致谢。)
