国家计算机病毒应急处理中心预警银狐（游蛇、谷堕大盗、UTG-Q-1000）木马

这是个栗子

一、预警核心（2026-05-21）


国家计算机病毒应急处理中心今日紧急预警：“银狐”（又名游蛇、谷堕大盗、UTG-Q-1000）木马出现全新变种，正通过人事 / 财务主题钓鱼文件定向攻击国内 Windows 用户，一旦中招可被全程远控、窃密、监控并沦为电诈跳板。

二、木马概况

• 别名：银狐（SilverFox）、游蛇、谷堕大盗、UTG-Q-1000
• 活跃时间：2022 年起活跃，2024–2026 年多次爆发变种
• 攻击目标：企事业单位财务、人事、管理、销售岗位，政府 / 高校 / 医疗 / 企业用户
• 核心能力：远程控制、键盘 / 屏幕监控、文件窃取、账号盗号、傀儡机（肉鸡）
  

三、2026 年 5 月新变种特征

• 文件名伪装（高迷惑性）
  
  • 人事类：内部调查结果、违纪名单、裁员补偿、通报人员信息
  • 财务 / 税务：金税四期 / 五期、税务稽查通知、财务数据更新
  • 图标伪装：文件夹、快捷方式、PDF/Word 文档、压缩包；后缀常加.pdf伪装
    
• 传播渠道
  
  • 微信群 / 企业微信 / QQ 群群发钓鱼文件 / 链接
  • 钓鱼邮件：附件为恶意压缩包 / 安装包
  • 伪造官网：SEO 劫持，伪装 Chrome / 办公软件下载站
    
• 感染后果
  
  • 完全远程控制：桌面、摄像头、麦克风被接管
  • 窃密：文档、账号密码、银行卡信息、聊天记录
  • 监控：键盘记录、屏幕录像、操作行为分析
  • 电诈跳板：利用身份群发诈骗信息、转账盗刷
  • 长期潜伏：创建随机系统服务、注入合法进程、利用运维软件（如 AnyDesk）驻留，常规杀毒难查杀
    
  
  
  

四、典型攻击流程

• 攻击者通过社交群 / 邮件发送人事 / 财务主题恶意文件
• 用户双击运行（误以为是正常文档 / 文件夹）
• 木马释放并静默安装，创建自启动项与隐藏服务
• 连接 C2 服务器，远控 + 窃密 + 监控
• 利用肉鸡身份群发诈骗、转账盗刷、挖矿 / DDoS
  

五、防范措施（必做）

• 不打开不明文件：群聊 / 邮件中非预期的人事、财务、稽查文件一律不点击、不运行
• 核对文件名与图标：警惕 **“PDF 图标 + EXE 后缀”**、文件夹图标实为快捷方式
• 官方渠道核实：人事 / 财务通知走内部 OA 或线下确认，不点群内链接
• 安全软件防护：更新杀毒软件与系统补丁，开启实时防护，拦截未知程序
• 权限最小化：日常办公用普通用户权限，禁用不必要的远程服务
• 中招处置：立即断网、重启进入安全模式，用杀毒软件全盘查杀；修改所有账号密码，排查敏感数据泄露
  

六、总结


“银狐” 木马产业化特征明显：变种迭代快、免杀强、伪装深、变现快，专盯企业核心岗位。近期人事 / 财务主题钓鱼高发，务必提高警惕，守住 “不点、不信、不运行” 三原则，避免设备被控制、数据被盗、财产受损。