近期,国家计算机病毒应急处理中心、多家安全厂商及高校网络安全监测平台陆续发布预警:一款名为“银狐”(又称“游蛇”“Silver Fox”)的远控木马呈现新一轮爆发趋势,已对国内多所高校及企事业单位造成严重威胁。攻击者利用高仿真钓鱼网站、搜索引擎投毒、即时通信群组传播等方式,诱导用户点击恶意文件或下载带毒软件,进而窃取账号密码、监控聊天记录、实施精准诈骗。
为保障我校师生个人信息与财产安全,维护校园网络秩序,现将“银狐”木马的攻击工作方式、最新传播特征及防范要求通知如下。
一、“银狐”木马的工作方式
“银狐”攻击团伙已形成成熟的产业化运作流程,其典型攻击阶段如下:
1.诱饵制作:伪装成工作文件或正版软件
攻击者大量使用带有“违纪”“通报”“裁员”“补偿”“名单”等敏感字眼的文件名,并将图标伪造成文件夹、PDF文档、快捷方式或回收站。同时,黑产团伙仿冒WPS Office、Chrome浏览器、钉钉、微信等常用软件的官方网站,搭建高仿真钓鱼页面,甚至利用搜索引擎SEO技术使虚假链接排在结果首页前列。
2.载荷投递:多渠道诱导下载
通过QQ、微信、钉钉、飞书等工作群或班级群发布恶意压缩包或文件链接,文件名常带“【内部】”“最新通知”等前缀。
用户在搜索引擎中搜索“WPS下载”“Chrome安装包”时,点击钓鱼网站链接,下载的却是捆绑银狐木马的安装包。
伪装成电子发票、政策文件、成绩单等发送钓鱼邮件。
3.启动与注入:躲避常规检测
用户一旦执行恶意文件(.exe、.msi或伪装成文档的.scr文件),木马会采用“白加黑”DLL侧加载、反射式DLL注入等技术,将核心载荷注入系统进程(如explorer.exe、svchost.exe),实现无文件落地内存执行,从而绕过多数杀毒软件的静态扫描。
4.环境感知与反杀对抗
木马运行时首先检测是否处于沙箱、虚拟机或调试环境,若发现则自动静默退出。随后尝试以下免杀操作:
(1)利用PowerShell命令将系统盘(C:\至F:\)加入Windows Defender的排除列表,导致杀毒软件无法扫描该区域。
(2)调用自带漏洞驱动(BYOVD技术)终止或致盲360、火绒、腾讯电脑管家、卡巴斯基等终端防护软件的进程。
(3)修改注册表、创建计划任务或WMI订阅,实现持久化驻留。
5.远程控制与数据窃取
木马与云端C2(命令与控制)服务器建立加密隧道,接收远程指令。攻击者可实时执行:屏幕截图、键盘记录、浏览器密码提取、微信/钉钉聊天记录下载、指定文件上传等操作。
6.横向扩散与精准诈骗
取得一台主机控制权后,攻击者会冒充该用户身份在内部群组继续投放恶意文件,实现内网横向扩散。同时,攻击者通过分析聊天记录窃取财务流程、人事信息,在群内或邮箱中假冒领导、同事发起虚假转账、索要验证码等诈骗行为。
二、最新活跃特征
结合近期捕获样本及推文披露的案例,当前“银狐”攻击呈现以下新特点:
1.仿冒对象高度集中:钓鱼网站仿冒排名前三的依次为WPS Office(约占45%)、Chrome浏览器(约32%)、微信/钉钉桌面版(约12%)。
2.搜索引擎投毒:在Bing、百度等搜索引擎搜索“WPS下载”“Chrome安装包”时,搜索结果首页第一页几乎全为钓鱼链接,官网入口被挤至第二页或需要主动展开。
3.文件名极具诱导性:大量使用“XX季度违纪名单.pdf.exe”“通报信息.zip”“11月裁员补偿方案.scr”等形式。
4.攻击目标明确:重点针对高校教职工、财务人员、行政人员以及拥有重要系统权限的管理员。
三、可能造成的危害
若师生电脑不幸感染“银狐”木马,可能导致:
1.统一身份认证密码、邮箱密码、教务系统密码等被窃取,账号被用于发布虚假信息或盗用校内资源。
2.个人微信、QQ聊天记录被监控,通讯录被导出,攻击者可冒充本人向好友、同事借款或诈骗。
3.财务人员电脑一旦中招,攻击者可篡改收款账户信息,导致学校或院系对公转账被骗。
4.感染主机成为肉鸡,被用于攻击校园网内其他服务器,或将学校IP列入恶意黑名单。
四、防范措施(请逐条落实)
(一)严格软件下载渠道
所有办公、学习软件务必通过学校正版软件平台、官网或官方应用商店下载,禁止在搜索引擎中直接点击“高速下载”“立即下载”按钮 。
若无法确定是否为官网,请手动输入域名(如 wps.cn 、 google.cn/chrome/ )并核对地址栏安全锁标识。
(二)谨慎处理群文件与邮件
对工作群、班级群中出现的“违纪名单”“通报”“裁员”等主题的压缩包、可执行文件、带宏的文档,一律先与发送者本人(通过电话或其他渠道)确认后再打开。
不轻信陌生人或临时添加的“同事”发送的文件链接。
(三)强化终端安全基线
保持Windows操作系统自动更新开启,及时安装安全补丁。安装并启用正规杀毒软件(如Windows Defender、火绒、360等),定期全盘扫描,确保实时防护功能未被人为关闭。
定期检查Windows Defender排除列表(病毒和威胁防护→排除项),若发现不明路径被添加,立即删除并执行全盘杀毒。
(四)账号与权限管理
为统一认证、邮箱、财务系统等设置高复杂度密码(至少12位,含大小写字母、数字和符号),不同系统不使用相同密码。
关闭不必要的网络共享和远程桌面端口,敏感系统启用多因素认证。
(五)利用检测平台辅助识别
对可疑文件(即使为.exe或.scr),可先上传至国家计算机病毒协同分析平台(https://virus.cverc.org.cn)进行静态扫描确认安全后再运行。
五、应急处理流程
若发现电脑出现以下异常:无故弹出命令窗口、杀毒软件异常退出或无法启动、浏览器主页被篡改、即时通信工具自动向好友发送文件、系统运行缓慢且网络流量持续异常,请立即执行 :
1.断网:拔掉网线或断开Wi-Fi,阻止数据外泄和横向扩散。
2.改密:使用一台已知安全的设备(如手机、其他电脑)修改统一身份认证密码、邮箱密码、微信/QQ/支付宝密码。
3.查杀:重启电脑进入安全模式,使用最新病毒库的杀毒软件进行全盘扫描。若无法清除,可重装操作系统。
4.报告:立即向本单位信息化专员及学校网络管理中心报告感染情况。
5.告知:若发现本人社交账号被用于发送恶意链接,第一时间在群内公告,并提醒亲友勿点击。
六、联系方式
各单位信息化专员应确保将本通知传达到每一位师生。如遇到可疑事件或需技术支持,请联系:
网络安全管理部门:冯老师
联系电话:0371-67781503
应急响应邮箱:xxaqsj@zzu.edu.cn
网络安全无小事,群防群治靠大家。请全体师生提高警惕,共同筑牢校园网络安全防线。
特此通知。
信息化办公室、网络管理中心
2026年5月26日
