文章核心观点 - 国家计算机病毒应急处理中心预警，针对中国用户的“银狐”木马病毒出现新变种，通过伪装成“裁员补偿”、“违纪通报信息”等钓鱼文件进行攻击，旨在远程控制计算机并窃取敏感信息[1] - “银狐”木马是一个活跃多年、以中国网络用户为主要目标的远程控制恶意程序家族，已形成完整的黑色产业链，并持续迭代更新，对个人信息安全和政企网络安全构成重大危害[2] - 新变种攻击手法更具迷惑性，大量采用人事业务相关的诱导性文件名，并伪装成文件夹、快捷方式或添加“pdf”后缀，主要针对组织机构工作人员，特别是人事相关业务人员，目的是控制受害者主机以窃取企业敏感数据和公民个人信息[2][4] - 攻击者的最终目的是渗透至单位核心或高层领导部门，发起虚假或篡改的转账业务，直接造成财产损失[5] 病毒特性与攻击手法 - 病毒特性：属于远程控制类恶意木马程序，变种速度快、隐蔽性强，潜伏在日常办公、社交通信、邮件传输等网络场景中[2][6] - 攻击载体：通过QQ、微信、飞书、钉钉等工作群或行业交流群传播，发布恶意文件或下载链接[4] - 文件伪装：精心伪装成“XX季度违纪名单”、“裁员名单”、“补偿方案”等人事相关文件，或伪装成文件夹、快捷方式、回收站图标，或添加“pdf”伪装后缀[2] - 攻击后果：一旦激活，会在后台静默植入远程控制程序，攻击者可窃取敏感数据和公民个人信息，并可能将受害者电脑作为“跳板”实施进一步的精准电信网络诈骗[2] 受影响目标与攻击目的 - 主要目标：具有**一定规模的组织机构工作人员**，重点针对**人事相关业务工作人员**[4] - 攻击目的： - 控制大量受害者主机[4] - 窃取受害企业敏感数据和公民个人信息[4] - 进而实施勒索或欺诈[4] - 最终渗透至核心业务部门或高层领导部门，发起虚假转账或篡改收款人信息，直接造成侵财[5] 防范措施建议 - 机构层面：相关部门、企事业单位应立即加强内部安全培训[6] - 个人操作层面： - 警惕即时通信工具或电子邮件中新增的临时工作群组及传播的“违纪”、“裁员”等相关主题文件[6] - 拒绝点击陌生人发送的文件，对同事发送的相关文件应通过本人或正式渠道核实[6] - 可将可疑的文档、可执行文件、压缩包等上传至**国家计算机病毒协同分析平台**进行安全检测[6] - 技术防护层面： - 保持防病毒软件实时监控功能开启[6] - 将计算机操作系统和防病毒软件更新到最新版本[6] - 应急处理：一旦发现即时通信工具或电子邮件被盗用，应立即停止使用可能感染的设备，断网，通知相关人员，备份重要数据后对设备进行杀毒和安全检查，并更换高强度常用口令[6]

“银狐”木马病毒新变种分析 - 病毒性质为活跃多年、专门以我国网络用户为主要攻击目标的远程控制类恶意木马程序，已形成完整的黑色产业链[3] - 新变种继续采用钓鱼欺诈手段，大量采用“XX季度违纪名单”、“裁员名单”、“补偿方案”等人事业务相关的诱导性文件名，并精心伪装成文件夹、快捷方式、回收站或添加“pdf”伪装后缀，极具迷惑性[3] - 病毒一旦激活，会在后台静默植入远程控制程序，攻击者不仅能窃取用户敏感数据和公民个人信息，甚至可能将受害者的电脑作为“跳板”进一步实施精准电信网络诈骗[5] 攻击目标与手法 - 攻击目标非常广泛，重点针对具有一定规模的组织机构工作人员，特别是人事相关业务工作人员[7] - 主要目的是通过木马病毒控制大量受害者主机，窃取受害企业敏感数据和公民个人信息，进而实施勒索或欺诈[7] - 攻击者会混入QQ、微信、飞书、钉钉等工作群、行业交流群，发布恶意文件或下载链接，或伪装成裁员名单、福利通知等钓鱼文件让企业内部员工下载[7] - 犯罪分子的最终目的是利用木马进入单位的核心业务部门甚至高层领导部门，在单位内部发起虚假转账业务或篡改转账业务收款人，直接造成侵财[7] 综合防范措施建议 - 建议相关部门、企事业单位立即加强内部安全培训[8] - 在使用即时通信工具或电子邮件处理工作事务期间，警惕新增临时工作群组和电子邮件中传播的“违纪”、“裁员”等相关主题文件，拒绝点击陌生人发送的文件，对本单位或外单位同事发送的相关文件应与其本人或正式渠道核实[8] - 用户可将可疑的文档文件、可执行文件、压缩包文件或解压后的可疑文件先行上传至国家计算机病毒协同分析平台进行安全检测，并保持防病毒软件实时监控功能开启，将计算机操作系统和防病毒软件更新到最新版本[8] - 一旦发现即时通信工具或电子邮件被盗用，应立即停止使用可能感染病毒的计算机设备，将其断开网络连接，并向单位网络管理员、相关同事和亲友告知情况，在备份重要数据的前提下对相关计算机设备进行杀毒和安全检查，更换常用口令且应具有较高强度[10]