“银狐木马”病毒是针对我国多个行业的、有组织操控的病毒变种，具有病毒样本变种多和快等特点，令人防不胜防。

自2023年以来境外黑客组织通过“银狐木马”病毒非法入侵控制我境内多个电子邮箱、即时通信软件账户，伪装成政务/税务部门发送远控木马，诱导用户点击运行后监听设备运行情况，伺机实施传播非法信息、窃取机密、网络诈骗等犯罪活动。

图1：有组织的黑客行为通常会使用多种手段组合攻击。

为避免发生重大网络和数据安全事件，请各校园网用户使用以下方法识别、判断和处置“银狐木马”病毒。

 

一、“银狐木马”病毒表现形式：

利用即时通讯工具或邮件钓鱼攻击，使用诱惑性标题和内容（如：补贴、政策、邀请函）诱使用户点击，传播夹带木马病毒的信息。

购买搜索引擎广告位，推广和诱导用户安装仿冒软件，以传播木马病毒。

植入远程木马组件，利用感染的电脑终端进一步传播和扩散钓鱼信息或木马病毒。

利用掌握的账号和密码，持续窃取相关数据、实施远程控制和精准定向钓鱼攻击的目的。

图2：钓鱼攻击手段之一，盗取密码或远控感染电脑滥发钓鱼攻击的信息。

 

二、“银狐木马”病毒防范措施：

及时更新电脑操作系统补丁，安装防病毒软件及防火墙的最新版本，并定期进行查杀，以抵御木马软件和恶意软件攻击。学生电脑建议安装免费火绒或360杀毒软件，教工电脑联系信息处获取专用防病毒软件。

通过官方渠道下载和安装软件，及时将电脑软件升级到最新版本。

将重要文件数据定期备份到外部硬盘、云存储或其他安全介质上，做到即使遭受攻击，也能确保数据的安全性和可恢复性。

办公电脑应设置自动锁屏，工作结束应及时退出即时通讯或邮箱客户端或关闭电脑运行，建议关闭即时通讯的自动登录设置。

对客户端提示有异常登录行为应及时检查软件中的信任设备，并且及时向管理员/信息处报告。

使用即时通讯、邮箱和浏览器，谨慎点击不明来源的文件或网址链接，重点留意[.exe]、[.zip]、[.rar]、[.7z]、[.tgz]、[.cab]、[.bat]、[.com]、[.chm]、[.iso]、[.msi]后缀格式的文件。

不要随意下载和安装未经官方认证的软件，防止软件携带恶意代码入侵系统。

避免在别人的手机或公共电脑等不安全环境上使用即时通讯软件或邮箱，不建议在多人共用设备登录账号，不建议设置自动登录。

 

三、“银狐木马”病毒应急响应措施：

发现在钉钉、微信、粤政易、邮箱等软件中传播的可疑网页链接、二维码图片，需要及时登录接管问题帐号，撤回可疑消息，并在群里发布告警通知后解散相关群。同时将账号和链接信息反馈给学校信息处团队予以限制/封禁。

跟踪消息传播记录，通知相关人员不得点击打开已经造成传播的问题文件或网页链接。

迅速断开受影响桌面电脑的网络连接，防止恶意程序进一步扩散，并将相关设备从办公网络中予以隔离，并将问题电脑进行封存交由学校信息处处理。

 

四、“银狐木马”病毒清除方法：

判断可能中了“银狐木马”病毒，除了使用防病毒进行清除外，还需要对电脑或手机系统进行进一步的检查和修复，必要时可联系获取信息处技术支持。

1、电脑端清除步骤

删除钓鱼文件及以下文件，若电脑中添加了用户或修改了管理员用户名，请到对应用户名文件夹下操作：

C:\Users\Administrator\AppData\Local\OneDrive\cache\Run\ 微软OneDrive.Ink

C:\Users\Administrator\AppData\Local\OneDrive\cache\nw_ elf.dll

C:\Users\Public\Downloads\1.dll

C:\Users\Public\Downloads\QQgames.exe

关闭电脑端微信的自动缓存功能，关闭自动下载同步在其他设备中查看过的照片、视频和文件的功能。

重新启动电脑，打开杀毒软件对全盘进行扫描，如扫描出木马程序则立刻清除。

如果有必要，可以进行系统还原或者系统重装。

2、手机端清除步骤

删除微信收藏中的钓鱼文件。

立即停止在已感染手机使用微信，并清除缓存。打 开微信，点击“我”-“设置”-“通用”-“清除缓存”,清除 微信缓存，然后退出微信账号。

中断手机网络，使用其他设备更改微信密码，在微 信登录界面，选择“忘记密码”,按照提示进行密码重置。

使用手机杀毒软件扫描手机，清除病毒。

如果发现微信聊天记录中有可疑的信息或者联系人，请立即删除。

关闭手机端微信的自动缓存功能，关闭自动下载同步在其他设备中查看过的照片、视频和文件的功能。

停用其他设备上的微信。如微信账号同时登录在其他设备上，建议停用其他设备上的微信，以免木马程序通过其他设备继续感染微信账号。