2025-11-12
关于防范“银狐”木马病毒及应急处置的通告
全校各单位、全体师生:
近日,计算中心根据用户反映及监测发现,危害windows系统的“银狐”木马病毒通过微信等社交软件传播,具有隐蔽性强、危害性大、传播迅速的特点。为保障校园网与个人信息安全,现就有关事项通告如下:
一、“银狐”木马病毒基本情况
“银狐”木马病毒(又名“游蛇”、“谷堕大盗”)是近期非常活跃的一种恶意软件,主要针对企事业单位人员进行攻击,重点是财务、税务、人事等关键岗位人员。
“银狐”木马病毒最显著的特点是高度隐蔽和极强的欺骗性。它常伪装成与工作密切相关的文件,例如 “发票”、“人员名单”、“补贴通知”、“税务稽查” 等。攻击者将这些恶意文件通过微信群、QQ群、钓鱼邮件等渠道传播,利用社会工程学手段诱导用户点击。一旦用户运行了这些伪装的程序(常见格式 .exe、.msi或藏在加密压缩包内),计算机就会被植入木马。该木马会创建系统计划任务,实现持久化驻留,并释放多个恶意程序文件。攻击者随后便能对受感染的计算机实施远程控制,窃取敏感信息(如社交账号、邮箱密码、网银信息),甚至利用该计算机作为“跳板”进一步实施诈骗或在内网扩散病毒。
近期活跃的“银狐”木马病毒,是由攻击者在微信群中发布名为“11.11名单公布.exe”的文件,并附文字说明“@所有人 2025第3季度违纪人员内部调查信息,请大家使用内网计算机查看(文件切勿外发)”,利用社会工程学手段诱导用户点击,一旦运行该程序,计算机将被植入“银狐”木马。
木马运行后,会创建系统计划任务实现持久化驻留,并释放恶意程序文件:
C:\Windows\System32\Tasks\Microsoft\Windows\Multimedia\Microsoft Compatibility Internet Explorer
C:\Windows\System32\Tasks\Microsoft\Windows\LanguageComponentsInstaller\ Microsoft Compatibility Internet Explorer
C:\Windows\System32\Tasks\Microsoft\Windows\Windows Error Reporting\CrlGWtrmOejGseeLLxWKuh
同时生成银狐木马启动文件:
C:\Program Files\Internet Explorer\nvgpu_x64.exe
C:\Program Files\Internet Explorer\nvml.bin
C:\Program Files\Internet Explorer\nvml.dll
或者
C:\Program Files\Internet Explorer\AAqxw\QduoQFO.exe
C:\Program Files\Internet Explorer\AAqxw\nvml.dll
C:\Program Files\Internet Explorer\AAqxw\nvml.bin
二、防范措施
1、提高警惕,谨慎点击:切勿打开来源不明的文件或链接,尤其是扩展名为 .exe、.msi、.scr、.bat 等可执行文件。对于任何标称“内部文件”“通知”“名单”等敏感信息的可执行程序,务必通过官方渠道核实。带密码的加密压缩包并不代表内容安全,需保持警惕。
2、核实信息来源:收到单位、同事或群组内发布的文件链接时,应先通过电话或其他可靠方式确认其真实性。不要轻信社交媒体中传播的所谓政府机关和公共管理机构发布的通知及相关工作文件。
3、强化安全意识:不轻信诱骗性文字,不随意在非授信计算机上登录个人账号。为计算机及应用账号设置复杂密码(包含大小写字母、数字及特殊符号)。
4、安装并更新杀毒软件:安装正规杀毒软件(如学校提供的NOD32防病毒软件、360等),保持实时监控功能开启,并定期更新病毒库。
5、官方渠道下载软件:只从官方网站或应用商店下载软件,避免使用破解软件或从不明来源下载。
三、应急处置流程
若已误点击相关文件,或发现计算机出现微信等社交软件自动发送消息等异常情况,请立即参照以下步骤处置:
1、断开网络连接,退出所有应用:
关闭所有社交软件(微信、QQ等)、办公软件及浏览器。
2、安装并运行杀毒软件:
下载360杀毒软件(下载地址:https://sfdl.360safe.com/360sd/360sd_x64_plus_7.0.0.1060E.exe)。
安装后,确保病毒库升级至最新版本。
对计算机进行全面病毒查杀,并按软件提示处理所有风险项。
3、手动清理木马文件残留:
本次“银狐”木马会创建系统计划任务实现持久化驻留,并释放恶意程序文件,若在以下路径中发现相关文件,请予以删除:
C:\Windows\System32\Tasks\Microsoft\Windows\Multimedia\Microsoft Compatibility Internet Explorer
C:\Windows\System32\Tasks\Microsoft\Windows\LanguageComponentsInstaller\Microsoft Compatibility Internet Explorer
C:\Windows\System32\Tasks\Microsoft\Windows\Windows Error Reporting\CrlGWtrmOejGseeLLxWKuh
C:\Program Files\Internet Explorer\nvgpu_x64.exe
C:\Program Files\Internet Explorer\nvml.bin
C:\Program Files\Internet Explorer\nvml.dll
C:\Program Files\Internet Explorer\AAqxw\QduoQFO.exe
C:\Program Files\Internet Explorer\AAqxw\nvml.dll
C:\Program Files\Internet Explorer\AAqxw\nvml.bin
4、清除微信缓存中的病毒文件:
访问路径 {user}DocumentsWeChat Files{你的微信ID}MsgFile2025-11 (其中 {user} 是你的系统用户名,{你的微信ID} 是你的微信账号),计算机版微信可按下图方式查看:
在该目录下,查找并彻底删除名为 “11.11名单公布.exe”的文件,以清除通过微信接收的病毒源文件。
5、修改重要账户密码:
在确认计算机病毒已被彻底清除后,在其他安全的设备上立即修改你的IAAA统一认证密码、电子邮箱密码等所有可能泄露的重要密码。
务必确保新密码具有足够的长度和复杂度(包含大小写字母、数字、特殊符号)。
建议在邮箱等关键系统中开启双因子认证(二次验证),并设置客户端专用密码,进一步提升账户安全等级。
6、必要时重装系统:如感染严重或反复出现异常,应在备份重要数据后,重新安装操作系统。
7、寻求技术支持:若无法自行完成查杀或清理,请联系计算中心技术支持热线(电话:62751023)寻求帮助。
网络安全无小事,请全体师生高度重视,共同维护清朗、安全的校园网络环境。
北京大学计算中心
2025年11月12日