又一个银狐木马受害者出现了
所得税政策直接关乎企业和个人的利益
不法分子们也盯上了这个重要时刻!
近日,360安全云服务团队在某学校教师工作电脑上检测到名为“2024年企业和个人所得税政策.exe”的恶意文件,经过检测分析,确认该病毒为银狐木马病毒程序。
银狐木马病毒程序专门针对企事业单位的管理层、财务、销售以及电商从业者实施钓鱼攻击,一旦获得受害计算机控制权限,该木马程序通过监控受害者的日常操作,以寻找发起诈骗的契机。
1-发现始末
该用户在接收到文件后进行解压操作。360终端安全监测服务工具对解压后的文件进行了安全性检测,成功识别出该木马程序,并立刻进行查杀。同时,查杀的告警数据被传送至360安全云服务团队。
木马发现预警
恶意文件的MD5值
客户侧接收工单进行闭环处置
客户侧处理完毕后,360安全云服务团队对处置结果进行验证,包含对被感染主机的进程、计划任务等关键项的检查以及全盘病毒扫描,确保处置结果的有效性。
样本分析:
该木马文件执行后会与202.79.XXX.XXX:8000进行通信,并进行恶意程序下载。通信的链接包括:
http://202.79.XXX.XXX:8000/1
http://202.79.XXX.XXX:8000/2
http://202.79.XXX.XXX:8000/3
http://202.79.XXX.XXX:8000/4
下载的恶意程序如下图所示:
通信链接下载的恶意程序内容
通过360沙箱云分析出1[1].exe为木马程序
360安全云服务团队运用360沙箱云对原文件的MD5值进行查询,确认其为银狐木马病毒程序。
通过MD5查询为银狐木马
2-关于银狐木马
银狐木马病毒程序专门针对企事业单位的管理层、财务、销售以及电商从业者实施钓鱼攻击。一旦获得受害者计算机的控制权限,该木马程序可以在系统中持续存在并监视受害者的操作。攻击者往往通过银狐木马病毒程序,利用被感染设备上的聊天软件(例如微信、QQ等)进行诈骗活动。
根据360安全云监测数据显示,银狐木马病毒程序常见用的传播名称包括:“关于2023企业所得税减缓最新规.exe”、“税务补贴服务端EXE.EXE”、“2023年财务人员的中秋福利.exe”等。
已知的银狐木马病毒变种数量已经超过40种,每天有超过1000个终端用户受到银狐木马病毒程序的攻击。近期,360安全云服务团队在多种用户场景中检测到多起银狐木马病毒程序攻击事件,涉及政府、国有企业和学校等领域。
3-防范建议
鉴于银狐木马近期发起的攻击事件,360建议广大政企机构尽快构建全面的数字安全防御体系。360基于多年攻防实战经验和能力推出360安全云,基于安全即服务理念将国家级安全能力开放给广大企业用户,守护千行百业数字安全。
360还建议广大用户做好以下防御措施:
1.安装并启用安全软件,确保对本机实施有效的安全保护。
2.对于被安全软件标记为有风险的程序,不应立即添加信任或关闭安全软件。
3.下载软件安装包时,务必验证下载地址的合法性。
4.不建议轻易下载和执行未知来源的程序。
5.发现微信账号出现异常,例如自动创建群组或发送消息等异常情况,应立即断开网络连接,并使用360终端安全监测服务工具对系统进行全面病毒检测。
如需进一步咨询相关服务请联系:
电话:400-0309-360
邮箱:wuluting@360.cn