5月21日，国家计算机病毒应急处理中心正式发布预警：“银狐”（又名“游蛇”“谷堕大盗”“UTG－Q－1000”“Silver Fox”等）木马家族出现最新变种，正以人事敏感话题为诱饵，通过企业微信、微信群、邮件等渠道大规模传播，定向攻击国内企事业单位员工，尤其HR、行政及全员，运行后可远程控机、窃取隐私数据，还会沦为电信诈骗跳板，危害极大。

攻击特征：伪装极强，双击即沦陷

文件名伪装（精准拿捏职场心理）

新变种全部采用高诱导性人事相关文件名，常见如下：

• 《2026年第二季度违纪名单.zip》

• 《裁员补偿方案（内部版）.pdf》

• 《违纪通报人员信息表.exe》

• 《内部调查结果（保密）.lnk》

图标伪装（视觉欺骗，极易误点）

将恶意程序图标伪装成文件夹、PDF文档、回收站、快捷方式等日常办公常见样式，甚至添加“.pdf”后缀迷惑，普通用户肉眼难以区分。

技术特征（隐蔽性强，难查杀）

- 运行路径：释放载荷至 `C:\Program Files\Internet Explorer\` 目录

- 核心文件：`log.dll`（加载器），通过正常系统文件 `installer.exe` 加载，绕过杀软检测

- 通信特征：主动回联8880端口恶意C2服务器，接收黑客远程指令

核心危害：不止窃密，更成诈骗工具

1. 远程完全控制：黑客可实时查看屏幕、操作鼠标键盘、开启摄像头麦克风

2. 敏感信息窃取：盗取办公文档、账号密码、通讯录、财务数据等核心资料

3. 沦为诈骗跳板：利用中招设备发送钓鱼消息、诈骗链接，冒充本人向亲友借钱

4. 长期潜伏扩散：植入后门持久化驻留，静默感染同网段其他设备，扩大受害范围

个人+企业紧急防范措施

个人用户：牢记“三不原则”

1. 不打开：绝不点击微信群、企业微信、邮件中陌生人事相关附件（违纪、裁员、补偿、内部调查等）

2. 不轻信：即使是同事发送，也务必电话或当面核实，警惕临时群聊陌生文件

3. 不关闭：全程开启杀毒软件与防火墙，禁用Office宏，不随意关闭安全提示

企业用户：技术+管理双防护

1. 邮件/网关过滤：设置关键词拦截（违纪、裁员、补偿等），筛查可疑附件

2. 终端加固：部署EDR系统，监控“白文件加载异常DLL”“8880端口外联”等行为

3. 员工培训：重点针对HR、财务、行政等高风险岗位，开展钓鱼识别专项演练

4. 应急处置：发现异常立即断网隔离，全盘扫描清除恶意文件，重置账号密码

官方检测渠道

怀疑文件可疑？可免费上传至 国家计算机病毒协同分析平台（0fdK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6$3K9i4u0#2M7#2)9J5k6h3y4$3k6i4u0U0i4K6u0W2L8%4u0Y4i4K6u0W2j5$3&6Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8e0S2Q4b7V1k6Q4z5f1u0Q4c8e0S2Q4b7e0q4Q4z5p5y4Q4c8e0k6Q4z5f1c8Q4z5o6y4Q4c8e0g2Q4b7e0S2Q4z5o6q4Q4c8e0k6Q4b7e0y4Q4z5o6m8Q4c8e0k6Q4b7U0g2Q4z5p5u0Q4c8e0y4Q4z5o6m8Q4z5o6t1`.

“银狐”木马长期紧盯国内用户，变种快、伪装强、危害大，本次人事主题新变种更是精准利用职场焦虑诱导点击。安全无小事，警惕陌生文件，守住点击“红线”，才能避免设备中招、信息泄露！

资讯来源：国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！