近日，瑞星威胁情报中心捕获到一起“银狐”木马团伙利用微信群传播病毒的事件，通过分析发现，此次传播的木马病毒伪装成一个看似很吸引人的“薪资调整政策”文件，诱惑性较强，一旦中招就会被该团伙远程控制。

图：在微信群中被传播的病毒文件压缩包

“银狐”木马团伙自2022年开始活跃，他们常会通过微信、QQ类即时通讯工具，或邮件、钓鱼网站等途径传播木马病毒，专门针对企事业单位的管理、财务、销售、金融等相关从业人员进行攻击，达到窃取隐私的目的。

在这起事件中，瑞星的安全专家发现，“银狐”木马团伙将伪造的《10月新政财会人员薪资补贴调整新政策》文件压缩包，通过微信群传播，如果有人使用电脑登录微信并打开了该压缩包，就会面临病毒入侵的风险。

病毒攻击详细过程：

第一步：伪造的“薪资补贴”压缩包被解压后会出现一个.exe文件，该文件一旦被双击，就会联网下载带有合法数字签名的另一个可执行文件和同名的.dat数据文件，以及另外两个文件；

第二步：接下来，刚刚被下载的这个合法的可执行文件会解压.dat文件，并执行其中的恶意脚本来修复其他文件，通过进一步解密得到并启动远控木马程序，让受害者中招。

图：攻击流程图

专家介绍，这种利用合法数字签名文件触发并启动恶意文件的“白加黑”方式，“优势”在于可以躲避杀毒软件的检测和查杀，隐蔽性极强，且成功几率较高，因此攻击者会常用这种手法发起攻击。

瑞星安全专家提醒：

由于银狐木马团伙的攻击针对性较强，所传播的远控木马能够监控受害者日常操作，并窃取企业财务、管理等机密信息，因此各类企事业机关单位应引起重视，谨防这类攻击。

1. 不打开可疑文件。

不打开未知来源的可疑的文件和邮件，防止社会工程学和钓鱼攻击。

2. 部署EDR、NDR产品。

利用威胁情报追溯威胁行为轨迹，进行威胁行为分析，定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，以便更快响应和处理。

3. 安装有效的杀毒软件，拦截查杀恶意文档和恶意程序。

杀毒软件可拦截恶意文档和恶意程序，如果用户不小心下载了恶意文件，杀毒软件可拦截查杀，阻止病毒运行，保护用户的终端安全。

图：瑞星ESM防病毒终端安全防护系统可查杀相关病毒

4. 及时修补系统补丁和重要软件的补丁。

许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播，及时安装补丁将有效减少漏洞攻击带来的影响。