多個(gè)微信群已出現！千萬(wàn)不要點(diǎn)開(kāi)！緊急提醒→

 

攻擊者通過(guò)構造財務(wù)、稅務(wù)等主題的釣魚(yú)網(wǎng)頁(yè)，通過(guò)微信群傳播該木馬病毒的下載鏈接。如下圖所示↓

用戶(hù)點(diǎn)擊上述釣魚(yú)鏈接后，釣魚(yú)網(wǎng)頁(yè)會(huì )根據用戶(hù)終端類(lèi)型進(jìn)行跳轉，如果用戶(hù)使用手機終端訪(fǎng)問(wèn)，則會(huì )提示用戶(hù)使用電腦終端進(jìn)行訪(fǎng)問(wèn)；用戶(hù)使用電腦終端訪(fǎng)問(wèn)鏈接后會(huì )下載文件名為“金稅四期（電腦版）-uninstall.msi”的安裝包文件或“金稅五期（電腦版）-uninstall.zip”的壓縮包文件（內含同文件名的可執行程序文件），實(shí)際為“銀狐”木馬病毒家族的最新變種程序。如果用戶(hù)運行相關(guān)程序文件，將被攻擊者實(shí)施遠程控制、竊密、網(wǎng)絡(luò )詐騙等惡意活動(dòng)，并充當進(jìn)一步攻擊的“跳板”。

據介紹，釣魚(yú)信息可能通過(guò)微信群、QQ群等社交媒體或電子郵件發(fā)送，信息通常為犯罪分子偽造的官方通知，主題通常涉及財稅或金融管理等公共管理部門(mén)發(fā)布的最新政策和工作通知等，并附所謂的對接相關(guān)工作所需專(zhuān)用程序的下載鏈接。

犯罪分子通常會(huì )將木馬病毒程序的文件名設置為與財稅、金融管理部門(mén)相關(guān)工作具有顯著(zhù)關(guān)聯(lián)，且對相關(guān)崗位工作人員具有較高辨識度的名稱(chēng)，如“金稅四期（電腦版）”“金稅五期（電腦版）”等，并以此為誘餌欺騙企業(yè)中的財務(wù)管理人員或個(gè)體經(jīng)營(yíng)者。由于目前該木馬病毒程序的變種大多只針對安裝Windows操作系統的傳統PC環(huán)境，犯罪分子也會(huì )在文件名中設置“電腦版”“PC版”等關(guān)鍵詞以誘導受害用戶(hù)在相應環(huán)境下安裝。

木馬病毒被安裝后，會(huì )在操作系統中注冊名為“UserDataSvc_[字母與數字隨機組合]”的系統服務(wù)，實(shí)現開(kāi)機自啟動(dòng)和持久駐留。如下圖所示↓

防范措施↓

國家計算機病毒應急處理中心提示廣大企事業(yè)單位，特別是從事電商業(yè)務(wù)的中小微企業(yè)以及個(gè)體經(jīng)營(yíng)者和個(gè)人網(wǎng)絡(luò )用戶(hù)，臨近年末，各類(lèi)財稅和金融業(yè)務(wù)繁忙，從事相關(guān)業(yè)務(wù)的工作人員務(wù)必提高警惕，防范以計算機病毒為作案工具的電信網(wǎng)絡(luò )詐騙活動(dòng)。建議廣大用戶(hù)采取以下防范措施：

• 不要輕信微信群、QQ群或其他社交媒體軟件中傳播的所謂政府主管部門(mén)或金融機構發(fā)布的通知，應通過(guò)官方渠道進(jìn)行核實(shí)。
•  
• 不要從微信群、QQ群或其他社交媒體軟件的聊天群組中傳播的網(wǎng)絡(luò )鏈接（或二維碼）下載所謂的官方程序。
•  
• 一旦發(fā)現微信、QQ或其他社交媒體軟件發(fā)生被盜現象，應向親友和所在單位及同事告知相關(guān)情況，并通過(guò)相對安全的設備和網(wǎng)絡(luò )環(huán)境修改登錄密碼，并對自己常用的計算機和移動(dòng)通信設備進(jìn)行殺毒和安全檢查，如反復出現賬號被盜情況，應在備份重要數據的前提下考慮重新安裝操作系統和安全軟件并更新到最新版本。
•  
• 對安全性未知的可疑文件，可訪(fǎng)問(wèn)國家計算機病毒協(xié)同分析平臺進(jìn)行提交檢測。

來(lái)源：綜合“中國經(jīng)濟網(wǎng)”微信公眾號、國家計算機病毒應急處理中心網(wǎng)站、央視新聞客戶(hù)端