校内各单位、全校师生:
根据国家计算机病毒应急处理中心通报,“银狐”木马病毒新变种伪装成“违纪”“裁员”等文件诱导点击,运行后电脑将被远程控制,可致信息被窃、沦为网络攻击跳板等风险。
为确保我校信息系统与师生个人数据安全,保障校园网络安全稳定,现将有关风险预警与防护要求通知如下:
1.警惕文件操作。切勿打开来源不明的文件或链接。
2.甄别信息来源。勿轻信社交媒体传播的“官方通知”,对于包含“内部文件”“名单”等敏感信息且带有可执行程序或链接的内容,务必核实其真实性。
3.强化口令管理。警惕钓鱼邮件,确保口令为含大小写字母、数字与特殊符号的复杂组合。
4.安装杀毒软件。安装正规杀毒软件,开启实时监控并定期更新病毒库。
请各单位加强安全教育,及时提醒师生不下载来源不明软件、不点击未知程序以防信息泄露。如遇设备疑似感染病毒无法自行清理,请立即断网并报告至网络与教育技术中心。
联系人:唐老师,联系电话:020-85220334
网络与教育技术中心/网络安全工作部
2026年6月16日
注:风险说明
一、“银狐”木马病毒基本情况
“银狐”木马是近期极为活跃的远控类恶意软件,长期定向攻击我国用户。设备一旦感染,攻击者即可获得远程控制权限,实施窃取敏感数据、监控操作行为、盗用账号等恶意活动,甚至发起勒索或挖矿攻击,对校园网络安全及师生信息与财产安全构成严重威胁。
二、“银狐”木马病毒风险特征
1.文件名与图标特征:使用“XX季度违纪名单”“通报人员信息”“裁员名单”“补偿方案”等诱导性文件名(见图1)。图标伪装成文件夹、快捷方式、回收站等常见样式,并添加“.pdf”等虚假后缀迷惑用户。

图1病毒样本文件名与图标特征
2.文件操作特征:病毒运行后,在“C:\Program Files\Internet Explorer\”目录投放后续载荷文件(见图2),其中关键文件“log.dll”由白文件“installer.exe”加载执行。

图2恶意载荷文件特征
3.网络通信特征:回联地址具有固定模式,URL特征如下:
http://[域名]:8880/
http://[域名]:8880/getinstall64
三、“银狐”木马病毒传播途径
“银狐”木马并非单一病毒,而是一个由黑灰产组织持续更新、不断迭代的木马家族,具有隐蔽性强、传播迅速、变种极快等特点,其主要传播途径如下:
1.仿冒软件官网投毒:攻击者批量注册高仿域名,搭建与主流浏览器、WPS、视频会议等办公工具高度相似的虚假下载页面。用户通过搜索引擎搜索软件时极易误点此类链接,从而下载带毒安装包。
2.借助社交平台诱导传播:该病毒新变种主要伪装为“发票”“违纪名单”“补偿方案”等敏感性文件名,攻击者运用社会工程学手段,通过微信群、QQ群等渠道诱导用户点击恶意伪装程序(常见格式包括:.exe、.msi、.bat,或藏匿于加密压缩包内的可执行文件)。用户一旦运行上述程序,其计算机即遭攻击者远程控制。
3.发送钓鱼邮件诱导下载:攻击者通过发送主题为“助学金发放”“成绩查询”“薪资绩效发放”等钓鱼邮件,诱导用户下载并运行带毒附件。用户一旦执行或解压附件,主机即被植入远控木马,导致社交账号、邮箱口令等敏感信息遭窃取。


