近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台（https://virus.cverc.org.cn）捕获多个文件名中包含"内部调查结果""违纪名单""违纪通报信息""裁员补偿"等词汇的恶意程序。

这些恶意程序表面上伪装成快捷方式、文件夹、文档文件或压缩包文件，实际为针对Windows平台用户的远程控制木马病毒。

经分析，这些木马病毒均为针对我国用户的"银狐"(又名"游蛇""谷堕大盗""UTG－Q－1000""SilverFox"等）木马病毒攻击活动的最新变种。

如果用户不慎运行相关恶意程序文件，将被攻击者实施远程控制、窃密等恶意操作，并可能被网络犯罪分子利用充当进一步实施电信网络诈骗活动的"跳板"。

“银狐”系列木马攻击活动的前因后果

“银狐”木马并非突然出现的新型威胁，而是经过多年演化、已经形成完整黑产链条的成熟远程控制木马家族。

它的发展历程，正是国内网络黑产从"作坊式"向"工业化"转型的缩影。

一、从开源框架到黑产工具的蜕变

“银狐”木马的技术源头可以追溯到2008年发布的开源远程控制框架Gh0stRAT。

这款原本用于合法远程管理的工具，因其代码开源、功能强大、易于修改的特点，很快被黑产分子盯上并进行恶意改造。

2022年下半年，经过多次技术迭代的"银狐"木马开始在国内互联网上大规模活跃，最初主要通过钓鱼邮件和即时通讯软件传播，目标对准中小企业的财务和管理人员。

2023年，"银狐"木马迎来了第一次重大技术升级。黑产团伙引入了无文件攻击、内存注入、DLL侧加载等先进技术，大幅提升了木马的隐蔽性和抗查杀能力。

同时，攻击目标也从单纯的个人用户扩展到政府机构、高校、医疗、金融等多个行业。

据国家互联网应急中心监测数据显示，2023年"银狐"木马的日均感染量已突破5000台，成为国内最活跃的远控木马家族之一。

二、2024-2025年：攻击手段的全面升级

2024年6月，瑞星威胁情报平台捕获到一起针对中国财务和会计领域专业人员的“银狐"木马攻击活动。

攻击者将木马伪装成“发票”“财税报表”“年度审计报告”等财务相关文件，通过企业微信、钉钉等办公软件传播。

这次攻击标志着“银狐”木马开始采用更加精准的社会工程学手段，针对特定行业和岗位发起定向攻击。

2024年11月至2025年4月，国家计算机病毒应急处理中心连续三次发布“银狐”木马病毒预警报告。

在这半年时间里，“银狐”木马的变种数量呈爆炸式增长，仅2025年就新增变种967个，累计免杀样本超过3万种。

攻击者开始采用“每日更新”的免杀策略，以小时为单位更新木马的特征码，使得传统的基于特征码的杀毒软件难以有效检测。

2025年下半年，“银狐”木马与“AnyDesk”合法远程控制工具的结合，成为其攻击手段的又一次重大突破。

攻击者将“银狐”木马与AnyDesk安装包捆绑在一起，当用户安装AnyDesk时，木马会在后台静默植入系统。

这种“合法软件+恶意代码”的组合模式，利用了用户对知名软件的信任，极大地提高了攻击成功率。

三、今年最新变种：瞄准职场焦虑的精准打击

今年5月21日，国家计算机病毒应急处理中心发布的最新预警，揭示了“银狐”木马攻击活动的最新动向。

攻击活动过程示意图

本次发现的新变种继续采用钓鱼欺诈手段，但在诱饵内容上进行了针对性调整，大量采用人事业务相关的诱导性文件名，如“XX季度违纪名单"“通报人员信息"“裁员名单"“补偿方案"等。

相关病毒样本

在经济下行压力加大、企业裁员消息不断的背景下，员工看到“裁员补偿"“违纪名单"这类文件时，往往会产生强烈的好奇心和恐慌感，从而降低戒备心，不假思索地点击打开。

攻击者正是利用了这种心理弱点，实现了对目标的精准打击。

此外，新变种还在伪装技术上进行了升级。它们不仅将图标伪装成文件夹、快捷方式、回收站等常见系统图标，还会添加“pdf"“doc"等虚假后缀名，让用户误以为是普通的文档文件。

有些变种甚至会在用户双击后，先弹出一个真实的文档窗口，同时在后台悄悄执行恶意代码，进一步增强了迷惑性。

 

“银狐”木马攻击的技术原理与危害

“银狐"木马之所以能够长期活跃并不断扩大危害，与其先进的技术架构和完整的攻击链条密不可分。它采用了多种现代恶意软件技术，实现了从初始感染到持久化驻留，再到远程控制和最终变现的全流程自动化。

一、完整的攻击链条

一个典型的"银狐"木马攻击过程通常分为五个阶段：

第一阶段是诱饵投递。攻击者通过微信、企业微信、钉钉、QQ等即时通讯软件，或者钓鱼邮件、搜索引擎推广等方式，将伪装好的恶意文件发送给目标用户。

文件名称通常与目标的工作内容或利益相关，如"内部通知""财务报表""工资条""裁员补偿"等，以诱导用户点击。

第二阶段是初始执行。当用户双击运行恶意文件后，木马首先会进行环境检测，判断是否运行在虚拟机、沙箱等安全分析环境中。如果检测到安全环境，木马会立即终止运行，避免被分析人员捕获。如果确认是真实用户环境，木马会释放核心恶意代码并执行。

第三阶段是权限提升与持久化驻留。木马会利用系统漏洞或白名单程序，获取管理员权限，然后修改系统安全配置，降低防护等级。

为了保证系统重启后仍能正常运行，木马会采用多种持久化技术，如修改注册表Run键值、创建伪造的系统服务、添加计划任务等。

第四阶段是远程控制与数据窃取。木马会通过加密通道主动外联攻击者的C2（命令与控制）服务器，发送被控终端的系统信息、IP地址、权限等级等，完成"上线"。

攻击者通过C2控制台，可以向被控终端下发各种指令，如实时屏幕监控、键盘记录、文件上传下载、远程桌面控制等。

第五阶段是变现与横向扩散。攻击者根据目标的价值，执行不同的变现操作。对于个人用户，主要是窃取浏览器保存的密码、网银信息、加密货币钱包私钥等；

对于企业用户，则会冒充企业负责人实施精准诈骗，或者利用失陷终端作为跳板，在内网进行横向渗透，窃取企业核心商业机密。

二、核心技术原理

"银狐"木马采用了多种先进的恶意软件技术，使其具有极强的隐蔽性和抗查杀能力：

内存注入与无文件攻击技术："银狐"木马广泛采用反射式DLL加载技术，将核心恶意代码注入explorer.exe、svchost.exe等系统可信进程中，在内存中解密执行，全程无恶意文件落地。

这种技术可以有效规避传统杀毒软件的静态文件扫描，因为硬盘上根本找不到恶意文件的痕迹。

DLL侧加载技术：木马利用Windows系统的DLL搜索顺序漏洞，将恶意DLL文件与合法的可执行文件放在同一目录下。

当合法程序运行时，会优先加载当前目录下的恶意DLL，从而执行恶意代码。这种技术利用了合法程序的数字签名，使得杀毒软件很难区分正常加载和恶意加载。

双控制链路技术：最新的"银狐"木马变种采用了"木马+合法远控工具"的双控制链路架构。除了传统的木马控制通道外，攻击者还会在被控终端上静默安装AnyDesk等合法远程控制工具。

这样即使杀毒软件查杀了木马进程，攻击者仍然可以通过AnyDesk远程接管终端，重新植入木马。

AI驱动的免杀技术：随着生成式AI技术的发展，攻击者开始利用AI工具自动生成木马变种。AI可以对木马的代码进行随机化处理，改变其特征码，同时保持功能不变。

这种自动化的免杀技术使得木马变种的生成速度大幅提升，传统的基于特征码的杀毒软件难以跟上更新的步伐。

三、严重的安全危害

"银狐"木马的危害是多方面的，不仅会给个人用户造成财产损失，还会威胁企业的信息安全和国家的网络安全：

对于个人用户来说，一旦感染"银狐"木马，攻击者可以完全控制其电脑，窃取所有个人信息，包括身份证号、银行卡号、密码、聊天记录、照片等。

这些信息可能被用于电信诈骗、身份盗用、敲诈勒索等犯罪活动，给用户造成巨大的财产损失和精神伤害。

对于企业来说，"银狐"木马的危害更为严重。如果企业的财务人员或管理人员感染了木马，攻击者可以通过远程控制查看企业的财务数据、账户余额，然后冒充企业负责人下达转账指令，实施精准诈骗。

据统计，此类诈骗的单笔涉案金额通常在几十万到数百万元不等。

此外，攻击者还可以利用失陷终端作为跳板，在内网进行横向渗透，窃取企业的核心商业机密、研发资料、客户信息等，给企业造成不可挽回的损失。

更令人担忧的是，"银狐"木马已经成为网络黑产的重要基础设施。攻击者将感染木马的电脑组成"肉鸡"网络，出租给其他黑产团伙用于发送垃圾邮件、进行DDoS攻击、挖矿等活动。

这些"肉鸡"网络规模庞大，有时甚至达到数十万台，对互联网的整体安全构成了严重威胁。

类似攻击案例深度解析

"银狐"木马的攻击模式并非个例，近年来，类似的"木马+钓鱼"组合攻击层出不穷，给社会造成了巨大的危害。以下两个案例展示了这类攻击的多样性和危害性。

一、"黑猫"团伙搜索引擎钓鱼案：官方标签下的陷阱

今年3月，国家互联网应急中心与安恒信息联合发布了关于"黑猫"黑灰产团伙的风险提示。

该团伙利用搜索引擎优化（SEO）技术，将包含钓鱼软件的恶意网站推送到搜索结果前列，并诱导搜索引擎错误地将部分钓鱼网站标注为"官方"标签，极大地增强了其欺骗性。

攻击者选择了Chrome浏览器、微信、QQ、钉钉等用户量巨大的常用软件作为攻击目标。

他们制作了与官方网站高度相似的钓鱼页面，甚至直接复制了官方网站的主要内容，只是将下载地址按钮对应的链接修改为钓鱼软件链接。

当用户在搜索引擎中搜索"Chrome浏览器下载"等关键词时，钓鱼网站会排在第一位，并且带有"官方"标签，绝大多数用户都会信以为真，点击下载。

用户从钓鱼网站下载的安装包，UI、安装流程与官方正版完全一致，安装后软件也可以正常运行和使用。

但与此同时，远程控制木马会在后台静默植入系统，完成权限提升和持久化驻留。用户完全不会察觉任何异常，直到资金被盗或数据泄露，才发现自己的电脑早已被攻击者控制。

这起事件暴露了搜索引擎在安全审核方面存在的漏洞，也反映出用户对"官方"标签的过度信任。

攻击者正是利用了这种信任，实现了"下载即失陷"的攻击效果。据统计，在攻击高峰期，该团伙的钓鱼网站日均访问量超过10万人次，导致大量用户感染木马。

二、银狐+LockBit混合攻击案：远控与勒索的双重打击

2025年12月，360安全卫士在处置用户求助过程中，发现了一类新的"银狐"木马攻击方式。

这个变种不仅能够远程控制受害者的电脑，还会进一步投放LockBit5.0勒索软件，对电脑中的文件进行加密，给受害者造成双重打击。

这次攻击以一种常见的电诈式社工手法开局。受害者首先接到一个自称"工商局"的电话，声称有人举报其公司网站存在不当内容，并要求受害者主动联系"投诉人"协商，否则将面临处罚。

在对方的诱导下，受害者添加了所谓"投诉人"的联系方式。

随后，攻击者以"投诉人"的身份向受害者发送一封"撤销举报"的邮件。

邮件内容经过精心伪装，声称"为了证明投诉内容不实，请下载附件中的材料进行核对"。

附件是一个名为"撤销举报材料.zip"的压缩包，解压后是一个名为"证明材料.exe"的可执行文件。

受害者按照要求打开文件后，"银狐"木马在系统中悄悄落地。

"银狐"木马植入后，首先对受害者的电脑进行全面侦察，收集系统信息、文件列表、网络拓扑等。

确认目标有足够的勒索价值后，攻击者会远程投放LockBit5.0勒索软件，对电脑中的所有文件进行高强度加密。

加密完成后，攻击者会在桌面上留下勒索信，要求受害者在72小时内支付比特币赎金，否则将永久删除解密密钥并公开窃取的数据。

这种"远控+勒索"的混合攻击模式，结合了两种攻击方式的优势。远控木马可以帮助攻击者筛选高价值目标，提高勒索成功率；

而勒索软件则可以直接变现，获取巨额利润。对于受害者来说，不仅要面对文件被加密的损失，还要担心数据泄露带来的声誉风险和法律责任。

企业与个人的防范措施

面对日益猖獗的"木马+钓鱼"组合攻击，企业和个人都应当提高安全意识，建立健全全方位的防范体系，从技术、管理和操作等多个方面入手，共同抵御这类网络威胁。

一、企业层面：构建纵深防御的安全体系

企业作为网络攻击的主要目标，应当承担起主体责任，构建一套覆盖事前预防、事中检测、事后响应的全生命周期安全防护体系。

首先，要加强员工安全意识培训。人为因素是导致钓鱼攻击成功的主要原因之一。

企业应当定期组织员工参加网络安全培训，特别是针对"银狐"木马这类利用社会工程学的攻击。

通过案例分析、情景模拟等方式，让员工了解钓鱼攻击的常见手法和危害，掌握识别可疑文件和链接的基本技能。

教育员工不要随意打开来源不明的文件，不要点击可疑链接，遇到可疑情况及时向安全部门报告。

其次，要加强终端安全防护。部署终端检测与响应（EDR）系统，实现对终端的实时监控和威胁检测。

EDR系统可以检测到"银狐"木马的异常行为，如内存注入、进程创建、网络外联等，并及时发出告警。

同时，要及时更新操作系统和应用软件的安全补丁，修复已知的安全漏洞。关闭不必要的端口和服务，禁用不必要的协议，减少攻击面。

第三，要加强邮件和即时通讯安全。部署邮件安全网关和即时通讯安全审计系统，对进出企业的邮件和即时消息进行实时扫描和过滤。

拦截包含恶意附件和链接的邮件和消息，防止它们到达用户终端。同时，要对企业内部的文件共享进行严格管理，限制可执行文件的传播。

第四，要建立完善的应急响应预案。提前制定木马攻击应急响应预案，明确各部门的职责和分工。

定期进行应急演练，提高员工的应急处置能力。当发生攻击事件时，能够快速响应，及时隔离被感染的设备，防止攻击扩散。

同时，要与专业的网络安全公司建立合作关系，在发生攻击时能够获得及时的技术支持。

二、个人层面：养成良好的数字安全习惯

个人用户是"银狐"木马攻击的主要目标之一。每个人都应当提高安全意识，养成良好的数字安全习惯，保护自己的设备和数据安全。

首先，要提高警惕，识别钓鱼陷阱。记住一个基本原则：不要随意打开来源不明的文件，不要点击可疑链接。

特别是对于文件名带有"内部""机密""紧急""补偿""名单"等诱导性词汇的文件，一定要格外小心。

在打开文件之前，先确认发送者的身份，通过电话或其他渠道核实文件的真实性。

其次，要注意文件的真实类型。Windows系统默认会隐藏已知文件类型的扩展名，这给了攻击者可乘之机。

攻击者可以将一个可执行文件命名为"裁员补偿.pdf.exe"，由于系统隐藏了".exe"扩展名，用户看到的就是"裁员补偿.pdf"，误以为是PDF文档。

因此，建议用户开启文件扩展名显示功能，这样可以清楚地看到文件的真实类型。

第三，要从官方渠道下载软件。不要从非官方网站、论坛、网盘等渠道下载软件，更不要下载所谓的"破解版""绿色版"软件。

这些软件很可能被植入了木马病毒。一定要从软件的官方网站或正规的应用商店下载软件。

第四，要安装正规的杀毒软件并及时更新。选择信誉良好的杀毒软件，开启实时防护功能。

定期更新杀毒软件的病毒库，确保能够检测到最新的木马变种。定期进行全盘扫描，及时发现和清除潜在的威胁。

第五，要掌握应急处置方法。如果不幸感染了"银狐"木马，应当立即采取以下措施：

第一，断开网络连接，防止攻击者继续远程控制和数据窃取；

第二，不要重启电脑，避免木马完成持久化驻留；

第三，使用杀毒软件进行全盘扫描和清除；

第四，如果杀毒软件无法清除，或者已经造成了数据泄露和财产损失，应当立即向公安机关报案。

结语

"银狐"木马的持续活跃和不断进化，反映出当前网络安全形势的严峻性。攻击者不再满足于简单的技术攻击，而是将技术手段与社会工程学相结合，利用人类的心理弱点实施精准打击。

防范"木马+钓鱼"组合攻击，是一场持久战，需要政府、企业和个人的共同努力。

在这场没有硝烟的战争中，没有谁是旁观者。每一个人都是网络安全的参与者和守护者。

只需一套防护方案

破解木马钓鱼双重陷阱

面对 “银狐” 等木马伪装内部文件、利用职场焦虑实施精准攻击的新趋势，单一杀毒软件已难以抵御。 

企业需构建 “意识先行 + 技术加固 + 实战检验” 的立体防护体系。我们结合最新攻击案例，为企业提供可落地的一体化解决方案，全面守护终端与数据安全。

具体我们如何开展？

第一步，开展木马钓鱼专项安全培训。结合 “违纪名单”“裁员补偿”“内部调查” 等真实诱饵场景，通过案例解析、恶意文件实操识别，让员工掌握攻击套路与鉴别方法。 

第二步，模拟实战检验防护效果。向员工发送高度仿真的钓鱼邮件和文件，统计识别率；全面检测终端防护能力，排查系统漏洞，出具针对性整改报告并指导落地。

防护落地成效

想象一下，当你完成了上面这些步骤，企业的终端安全防线将全面升级：