近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台（https://virus.cverc.org.cn）捕获多个文件名中包含“内部调查结果”“违纪名单”“违纪通报信息”“裁员补偿”等词汇的恶意程序，这些恶意程序表面上伪装成快捷方式、文件夹、文档文件或压缩包文件，实际为针对Windows平台用户的远程控制木马病毒。经分析，发现这些木马病毒均为针对我国用户的“银狐”(又名“游蛇”“谷堕大盗”“UTG－Q－1000”“Silver Fox”等）木马病毒攻击活动的最新变种。如果用户不慎运行相关恶意程序文件，将被攻击者实施远程控制、窃密等恶意操作，并可能被网络犯罪分子利用充当进一步实施电信网络诈骗活动的“跳板”。

图1 攻击活动过程示意图

　　病毒特征

　　1. 文件名特征

　　本次发现的木马病毒新变种继续采用钓鱼欺诈手段，大量采用人事业务相关的诱导性文件名，文件名以“XX季度违纪名单”“通报人员信息”“裁员名单”“补偿方案”等为主，并将图标伪装成文件夹、快捷方式、回收站等，并添加“pdf”后缀迷惑用户。如图2所示。

图2 相关病毒样本

　　2. 文件操作特征

　　木马病毒运行后，会在“C:Program FilesInternet Explorer”文件夹下投放下一步所需的载荷文件。其中关键文件log.dll为下一步运行的加载器，该dll文件通过白文件installer.exe进行加载，如图3所示。