4 月 25 日消息,据央视新闻今日报道,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台(virus.cverc.org.cn)在我国境内连续捕获一系列针对我国网络用户,特别是财务和税务工作人员用户的木马病毒。
这些病毒的文件名称与 2025 年“税务稽查”“所得税汇算清缴”“放假安排”等诱饵主题相关,实际为恶意可执行程序,全部针对 Windows 平台用户,主要通过社交媒体中转发的钓鱼网页链接进行传播。
经过分析后发现这些病毒均为“银狐”(又名:“游蛇”“谷堕大盗”等)家族木马病毒变种,如果用户运行相关恶意程序文件,将被攻击者实施远程控制、窃密、挖矿等恶意操作,并可能被利用充当进一步实施电信网络诈骗活动的“跳板”。
“银狐” 木马病毒通过社交媒体钓鱼链接疯狂传播,给网络安全带来严重威胁。面对此类恶意攻击,IP 查询、IP 离线库与 IP 风险画像等技术手段将成为抵御病毒、保障网络安全的有力武器。它们从不同角度切入,能在追踪溯源、离线防护、风险预判等环节发挥重要作用,以下为具体分析。
IP 查询能快速定位病毒传播源。通过分析钓鱼网页链接及病毒文件下载源的 IP 地址,安全人员可明确攻击者所在的网络位置,溯源攻击路径,为执法部门提供关键线索,助力精准打击犯罪团伙。
IP 离线库可在网络断开或受限环境下使用。即便无法实时联网,安全团队仍能借助预先存储的 IP 数据,识别可疑 IP 是否曾参与恶意活动,判断当前网络环境中文件下载、访问链接的安全性,辅助企事业单位和个人用户在特殊场景下也能有效防范病毒入侵。
IP 风险画像则从多维度评估 IP 风险。它综合 IP 的历史行为(如是否频繁发送钓鱼邮件、传播恶意软件)、所属网络类型(是否为高风险的动态 IP 地址池)、与已知恶意 IP 的关联程度等因素,为每个 IP 生成风险评分与详细画像。对于此次 “银狐” 木马病毒,可依据画像快速识别出高风险 IP,在病毒传播初期就采取阻断措施,防止其通过社交媒体等渠道大规模扩散,保护财务和税务工作人员等易受攻击群体的网络安全。
【IP风险画像来源网站:https://www.ipdatacloud.com/?utm-source=LMN&utm-keyword=?2142】
附:
有关该病毒的介绍如下:
病毒感染特征
1.钓鱼主题特征
攻击者使用的钓鱼诱饵主题高度贴合我国社会和经济活动的周期性事件。结合第一季度特点,攻击者刻意强调“企业所得税”“第一季度”“税务稽查”“汇算清缴”“3・15 曝光”“清明节放假”等关键词,甚至伪造政府部门通知,借此使潜在受害者增加紧迫感和好奇心从而放松警惕,进而下载和运行具有迷惑性的木马病毒文件。
2.病毒文件特征
本次发现的系列木马病毒文件名与钓鱼信息具有高度一致性。本次发现的系列木马病毒与“银狐”木马病毒此前的文件格式特点一致,均以 RAR、ZIP 等压缩格式为主,但大多数并未设置密码口令,解压缩后会释放与压缩文件同名或相仿的 EXE 可执行程序或 DLL 动态链接库文件。网络安全管理员可访问国家计算机病毒应急处理中心官方网站(www.cverc.org.cn)查看预警报告原文,并通过国家计算机病毒协同分析平台(virus.cverc.org.cn)获得相关病毒样本的详细信息。
防范措施
临近五一假期,国家计算机病毒应急处理中心提示广大企事业单位和个人网络用户持续保持针对各类电信网络诈骗活动的警惕性和防范意识。结合本次发现的系列木马病毒传播活动的相关特点,建议广大用户采取以下防范措施:
不要轻信微信群、QQ 群或其他社交媒体软件中传播的所谓政府机关和公共管理机构发布的“工作通知”“放假安排”“补贴政策”及相关工作文件和官方程序(或相应下载链接和二维码),应通过官方渠道进行核实。
针对类似此次传播的系列木马病毒,用户可将压缩包和解压后的可疑文件先行上传至国家计算机病毒协同分析平台(virus.cverc.org.cn)进行安全性检测,并保持防病毒软件实时监控功能开启,将电脑操作系统和防病毒软件更新到最新版本。
一旦用户遭遇以下异常状况,应立即主动切断计算机设备网络连接,对重要数据进行迁移和备份,并对相关设备进行停用直至通过系统重装或还原、完全的安全检测和安全加固后方可继续使用。
(1)操作系统的安全功能和防病毒软件在非自主操作情况下被异常关闭;
(2)在排除硬件故障且用户没有主动运行大型应用程序的情况下,电脑的性能突然严重下降且系统资源占用率长时间居高不下;
(3)社交媒体或电子邮件等网络应用程序提示用户账户出现异常登录或反复收到网络服务商发来的登录验证码等异常情况。
一旦发现微信、QQ 或其他社交媒体软件发生被盗现象,应向亲友和所在单位同事告知相关情况,并通过相对安全的设备和网络环境修改登录密码,并对自己常用的计算机和移动通信设备进行杀毒和安全检查,如反复出现账号被盗情况,应在备份重要数据的前提下,考虑重新安装操作系统和防病毒软件并更新到最新版本。
事件来源:IT之家
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。