Ady影院 “银狐”木马病毒本月再次出现新变种并更新传播手法

IT 之家 12 月 20 日音问，国度计较机病毒救急处理中心本日宣布Ady影院，与计较机病毒防治本事国度工程实验室依托国度计较机病毒协同分析平台在我国境内再次拿获发现针对我国用户的"银狐"（IT 之家注：别号"游蛇"、"谷堕大盗"）木马病毒的最新变种。

干系病毒传播案例

近日，国度计较机病毒救急处理中心和计较机病毒防治本事国度工程实验室依托国度计较机病毒协同分析平台在我国境内再次拿获发现针对我国用户的"银狐"木马病毒的最新变种。在本次传播经过中，报复者不时通过构造财务、税务违纪稽察讨教等主题的垂钓信息和储藏结合，通过微信群获胜传播包含该木马病毒的加密压缩包文献。

名为"条记"等字样的储藏结合指向文献名为"违纪 - 记载（1）.rar "等压缩包文献，用户按照垂钓信息给出的解压密码解压压缩包文献后，会看到以"开票 - 目次 .exe "、"违纪 - 布告 .exe "等定名的可履行程绪论件，这些可履行法子履四肢"银狐"远控木马眷属于 12 月更新传播的最新变种法子。如若用户开动干系坏心程绪论件，将被报复者实施而已戒指、窃密等坏心操作，并可能被积恶分子期骗充任进一步实施电信鸠合诳骗行动的"跳板"。

病毒感染特征垂钓信息特征

本次发现报复者使用的垂钓信息仍然以伪造官方讨教为主。集结年末性情，报复者刻意强调" 12 月"、"稽察"、"违纪"等要津词，借此使潜在受害者增多伏击感从而平缓警惕。在垂钓信息之后，报复者不时发送附带所谓的干系责任文献的垂钓结合。

文献特征

文献名：关于本次发现的新一批变种Ady影院，积恶分子不时将木马病毒法子的文献名设立为与财税、金融处分等干系责任具有密切议论的称号，以劝诱干系岗亭责任主谈主员点击下载开动，痴迷系列如："开票 - 目次"、"违纪 - 记载"、"违纪 - 布告"等。这次发现的新变种仍然只针对安设 Windows 操作系统的传统 PC 环境，积恶分子也会在垂钓信息中使用"请使用电脑版"等话术进行有针对性的指点领导。

文献式样：本次发现的新变种以 RAR、ZIP 等压缩式样（内含 EXE 可履行法子）为主，与之前变种不同的是，这次报复者为压缩包设立了解压密码，并在垂钓信息中进行领导见告，以走避酬酢媒体软件和部分安全软件的检测，使其具有更强的传播能力。

文献 HASH：34101194d27df8bc823e339d590e18f2

进度特征

木马病毒被安设开动后，会在操作系统中创建新进度，进度名与文献名疏浚，并从回联劳动器下载其他坏心代码获胜在内存中加载履行。

鸠合通讯特征

回联地址为：156.***.***.90，端标语为：1217

号召戒指劳动器（C2）域名为：mm7ja.*****. cn，端标语为：6666

鸠合安全处分员可字据上述特征建立防火墙政策，对十分通讯步履进行遏制。其中与 C2 地址的通讯经过中，报复者会网罗受害主机的操作系统信息、鸠合建立信息、USB 栽种信息、屏幕截图、键盘记载、剪切板内容等明锐数据。

其他特征

本次发现的新变种还具有主动报复安全软件的功能，试图通过模拟用户鼠标键盘操作关闭防病毒软件。

胡闹标准

不要轻信微信群、QQ 群或其他酬酢媒体软件中传播的所谓政府机关和环球处分机构发布的讨教及干系责任文献和官方式子（或相应下载结合），应通过官方渠谈进行核实。

带密码的加密压缩包并不代表内容安全，针对同样这次传播的"银狐"木马病毒加密压缩包文献的新性情，用户可将解压后的可疑文献先行上传至国度计较机病毒协同分析平台进行安全性检测，并保抓防病毒软件及时监控功能开启，将电脑操作系统和防病毒软件更新到最新版块。

一朝发现电脑操作系统的安全功能和防病毒软件在非自主操作情况下被十分关闭，应立即主动割断鸠合结合，对要紧数据进行移动和备份，并对干系栽种进行停用直至通过系统重装或收复、完满的安全检测和安全加固后方可不时使用。

一朝发现微信、QQ 或其他酬酢媒体软件发生被盗风景，应向亲一又和场所单元共事见告干系情况Ady影院，并通过相对安全的栽种和鸠合环境修改登录密码，对我方常用的计较机和移动通讯栽种进行杀毒和安全查验，如反复出现账号被盗情况，应在备份要紧数据的前提下，洽商再行安设操作系统和防病毒软件并更新到最新版块。