近日,國家計算機病毒應急處理中心和計算機病毒防治技術國家工程實驗室依託國家計算機病毒協同分析平臺(virus.cverc.org.cn)在我國境內連續捕獲一系列針對我國網絡用戶,特別是財務和稅務工作人員用戶的木馬病毒。這些病毒的文件名稱與2025年“稅務稽查”“所得稅彙算清繳”“放假安排”等誘餌主題相關,實際爲惡意可執行程序,全部針對Windows平臺用戶,主要通過社交媒體中轉發的釣魚網頁鏈接進行傳播。經過分析後發現這些病毒均爲“銀狐”(又名:“遊蛇”“谷墮大盜”等)家族木馬病毒變種,如果用戶運行相關惡意程序文件,將被攻擊者實施遠程控制、竊密、挖礦等惡意操作,並可能被利用充當進一步實施電信網絡詐騙活動的“跳板”。
△有關病毒樣本情況
病毒感染特徵
1.釣魚主題特徵
攻擊者使用的釣魚誘餌主題高度貼合我國社會和經濟活動的週期性事件。結合第一季度特點,攻擊者刻意強調“企業所得稅”“第一季度”“稅務稽查”“彙算清繳”“3·15曝光”“清明節放假”等關鍵詞,甚至僞造政府部門通知(如下圖所示),藉此使潛在受害者增加緊迫感和好奇心從而放鬆警惕,進而下載和運行具有迷惑性的木馬病毒文件。
△僞造的政府部門通知
2.病毒文件特徵
本次發現的系列木馬病毒文件名與釣魚信息具有高度一致性。如下圖所示。
△病毒文件名稱及圖標
本次發現的系列木馬病毒與“銀狐”木馬病毒此前的文件格式特點一致,均以RAR、ZIP等壓縮格式爲主,但大多數並未設置密碼口令,解壓縮後會釋放與壓縮文件同名或相仿的EXE可執行程序或DLL動態鏈接庫文件。網絡安全管理員可訪問國家計算機病毒應急處理中心官方網站(www.cverc.org.cn)查看預警報告原文,並通過國家計算機病毒協同分析平臺(virus.cverc.org.cn)獲得相關病毒樣本的詳細信息。
主要危害
攻擊者發動本次系列病毒木馬攻擊活動的主要目的仍然是通過木馬病毒控制大量受害者主機,並竊取相關單位敏感數據和公民個人信息。
同時也發現,由於近期我國企事業單位和個人用戶在人工智能應用,特別是人工智能大模型的本地化部署方面的投入大量增加,攻擊者還會針對性地根據受害主機的配置情況,投送惡意“挖礦”病毒,盜竊用戶高性能計算機的算力“挖掘”比特幣等加密數字貨幣以非法牟利。
防範措施
臨近五一假期,國家計算機病毒應急處理中心提示廣大企事業單位和個人網絡用戶持續保持針對各類電信網絡詐騙活動的警惕性和防範意識。結合本次發現的系列木馬病毒傳播活動的相關特點,建議廣大用戶採取以下防範措施:
1.不要輕信微信羣、QQ羣或其他社交媒體軟件中傳播的所謂政府機關和公共管理機構發佈的“工作通知”“放假安排”“補貼政策”及相關工作文件和官方程序(或相應下載鏈接和二維碼),應通過官方渠道進行覈實。
2.針對類似此次傳播的系列木馬病毒,用戶可將壓縮包和解壓後的可疑文件先行上傳至國家計算機病毒協同分析平臺(virus.cverc.org.cn)進行安全性檢測,並保持防病毒軟件實時監控功能開啓,將電腦操作系統和防病毒軟件更新到最新版本。
3.一旦用戶遭遇以下異常狀況,應立即主動切斷計算機設備網絡連接,對重要數據進行遷移和備份,並對相關設備進行停用直至通過系統重裝或還原、完全的安全檢測和安全加固後方可繼續使用。
(1)操作系統的安全功能和防病毒軟件在非自主操作情況下被異常關閉;
(2)在排除硬件故障且用戶沒有主動運行大型應用程序的情況下,電腦的性能突然嚴重下降且系統資源佔用率長時間居高不下;
(3)社交媒體或電子郵件等網絡應用程序提示用戶賬戶出現異常登錄或反覆收到網絡服務商發來的登錄驗證碼等異常情況。
4.一旦發現微信、QQ或其他社交媒體軟件發生被盜現象,應向親友和所在單位同事告知相關情況,並通過相對安全的設備和網絡環境修改登錄密碼,並對自己常用的計算機和移動通信設備進行殺毒和安全檢查,如反覆出現賬號被盜情況,應在備份重要數據的前提下,考慮重新安裝操作系統和防病毒軟件並更新到最新版本。
(來源:央視新聞)
編輯:李聰
