一、事件概述

国家计算机病毒应急处理中心于2026年5月23日发布安全预警，监测发现专门针对我国用户的"银狐"木马病毒出现新型变种。该病毒通过伪装成"裁员名单""违纪通报""补偿方案"等人事相关文件实施钓鱼攻击，一旦用户点击运行，电脑将被不法分子远程控制，进而窃取敏感数据。

二、病毒特征分析

（一）伪装手法

本次发现的"银狐"木马病毒新变种采用多种欺骗性伪装手段：

文件名伪装：

• "XX季度违纪名单"
• "裁员名单"
• "补偿方案"
• "通报人员信息"
• "违纪通报信息"

图标伪装：

• 伪装成文件夹图标
• 伪装成桌面快捷方式
• 伪装成系统回收站图标
• 添加"pdf"等常见后缀名增强迷惑性

病毒样本截图：

（二）传播渠道

攻击者主要通过以下渠道传播病毒：

• 混入微信工作群、行业交流群发布恶意文件
• 通过钉钉、飞书、QQ等即时通讯工具传播
• 伪装成福利通知、裁员名单等钓鱼文件诱导下载

（三）攻击目标

本次攻击目标非常广泛，重点针对：

• 企事业单位人事部门工作人员
• 财务岗位员工
• 具有一定规模的组织机构工作人员
• 三、危害后果
• 
  

• （一）远程控制

  病毒激活运行后，会在后台静默植入远程控制程序，攻击者可完全控制受害主机，包括：

  • 远程查看屏幕内容
  • 窃取文件和敏感数据
  • 记录键盘输入
  • 截取屏幕截图

  （二）数据窃取

  攻击者可窃取以下敏感信息：

  • 企业商业机密
  • 员工个人信息
  • 财务数据
  • 客户资料

  • 四、技术特征

  • 

  •                                                                                     银狐病毒技术特征分析

  • 病毒运行后可能会在以下路径投放载荷文件：

  • %APPDATA%（应用程序数据目录）

    %LOCALAPPDATA%\Temp\(临时目录）

    用户下载文件夹或者桌面

  关键文件包括：

  
  

  • log.dll：加载器模块
  • installer.exe：白文件加载器

  病毒通过白文件加载恶意DLL，绕过部分安全软件检测。

  五、防范措施

  文件处理原则：

  1. 不要随意打开来源不明的文件，尤其是"裁员""违纪"类敏感文件
  2. 即使是工作群接收的文件，也要通过电话或其他渠道与发送者确认
  3. 注意文件扩展名，可执行文件（.exe、.scr、.com）即使伪装成文件夹图标也要警惕

  系统安全：

  1. 开启Windows Defender或其他杀毒软件实时防护
  2. 及时更新操作系统和安全软件病毒库
  3. 关闭Windows系统的"隐藏已知文件类型的扩展名"选项，便于识别伪装文件

  可疑文件检测： 可将可疑文件上传至国家计算机病毒协同分析平台进行检测：

  https://virus.cverc.org.cn/

  
  

  1. 1.部署终端安全防护软件并保持病毒库更新
  2. 2.加强网络边界防护，监控异常外联行为
  3. 3.对重要系统实施多因素认证
  4. 4.定期备份重要数据

  ---

  六、应急响应

  如发现已感染"银狐"木马病毒，应立即采取以下措施：

  （一）立即隔离

  1. 1.断开网络连接
  2. 2.通知单位网络安全负责人

  （二）清除病毒

  1. 1.使用杀毒软件进行全盘扫描
  2. 2.手动检查并删除可疑文件
  3. 3.检查启动项和计划任务

  （三）排查影响

  1. 1.检查近期是否有异常转账操作
  2. 2.排查敏感数据是否被外发
  3. 3.检查是否有其他主机被感染

  ---

  七、安全提示

  当前环境下，"裁员""违纪"等话题极易引起员工关注，攻击者正是利用这种心理实施钓鱼攻击。请广大用户：

  1. 1.保持警惕，不轻信来源不明的"敏感文件"
  2. 2.遇到涉及裁员等文件，核实清楚
  3. 3.企业应加强员工安全意识培训
  4. 4.发现可疑情况及时报告