尊敬的火絨用戶:
近期銀狐病毒不斷活躍,多位用戶反饋深受其害,出現(xiàn)中毒、電腦被遠控的現(xiàn)象,經(jīng)火絨工程師排查發(fā)現(xiàn),用戶中毒原因與遠控工具有直接關(guān)聯(lián)。黑客會利用盜版IP-guard等企業(yè)管理軟件遠控受害者客戶端,誘騙受害者安裝客戶端實施遠控,致使用戶財產(chǎn)、數(shù)據(jù)造成嚴(yán)重損失與泄露。客戶端銀狐病毒執(zhí)行流程圖如下。
由于銀狐病毒仍在持續(xù)對抗殺軟,且會利用殺軟認證的IP-guard 早期版本,逃避殺軟檢測,誘騙用戶安裝客戶端,為了保障用戶的終端安全,從根源解決被遠控的問題,經(jīng)我司與IP-guard積極溝通,目前雙方達成一致的處理方式是對可能被黑客利用的IP-guard版本進行查殺。請用戶盡快按照版本說明進行更新,以提高防御能力。
火絨企業(yè)版用戶,版本需滿足以下全部要求即可支持查殺:火絨個人版用戶,不同產(chǎn)品版本滿足以下要求即可支持查殺:火絨安全6.0版本6.0.2.4及以上且病毒庫版本2024-11-05及以上火絨安全5.0版本5.0.75.16及以上且病毒庫版本2024-11-05及以上
火絨查殺日志
銀狐病毒通常以企事業(yè)的管理人員、財務(wù)人員、銷售人員等為主要目標(biāo),偽裝成帶有稅務(wù)、匯總、匯票、收款、稽查、通告、公示等關(guān)鍵詞的釣魚文件,這些文件實際為病毒程序,通過誘騙用戶點擊下載并運行的方式獲得計算機控制權(quán)限。目前已知的銀狐病毒仍在持續(xù)進行與殺軟的對抗,在攻擊方式、攻擊組件部署方式、惡意樣本投遞方式上不斷變化,通過白加黑、加密payload、內(nèi)存加載等免殺手段,逃避殺軟檢測。因此,火絨安全建議相關(guān)企事業(yè)部門做好防護措施。針對此問題,防護建議如下:若您的企業(yè)環(huán)境未使用IP-guard:1、及時更新火絨管理中心、終端版本及病毒庫至最新版本;2、火絨個人版/企業(yè)版開啟程序控制功能-【遠程控制工具】選項:(1)個人版6.0通過“防護中心”-“系統(tǒng)防護”-“風(fēng)險軟件監(jiān)控”,開啟“遠程控制工具”功能;(2)企業(yè)版及個人版5.0通過開啟“系統(tǒng)防護”-“程序執(zhí)行控制”,開啟“遠程控制工具”功能,若運維需要使用到遠程軟件,可單獨針對該遠程工具取消限制;3、謹(jǐn)慎運行郵件中的附件、即時通訊工具中接收的文件。若您的企業(yè)環(huán)境需要使用IP-guard:1、及時更新火絨管理中心、終端版本及病毒庫至最新版本,并升級IP-guard至最新版本;2、火絨個人版/企業(yè)版開啟程序控制功能-【遠程控制工具】選項:(1)個人版6.0通過“防護中心”-“系統(tǒng)防護”-“風(fēng)險軟件監(jiān)控”,開啟“遠程控制工具”功能,并將IP-guard進行關(guān)閉,其他遠程軟件根據(jù)運維需求選擇是否需要限制;(2)企業(yè)版及個人版5.0通過開啟“系統(tǒng)防護”-“程序執(zhí)行控制”,開啟“遠程控制工具”功能,并將IP-guard進行關(guān)閉,其他遠程軟件根據(jù)運維需求選擇是否需要關(guān)閉;3、謹(jǐn)慎運行郵件中的附件、即時通訊工具中接收的文件。近年來,企業(yè)網(wǎng)絡(luò)安全態(tài)勢日漸嚴(yán)峻,各類病毒持續(xù)不斷的對抗殺軟,造成企業(yè)敏感數(shù)據(jù)泄露或?qū)е缕髽I(yè)網(wǎng)絡(luò)被入侵。在此,火絨安全建議各大企業(yè)對重點業(yè)務(wù)電腦、重點人員電腦或者全部電腦,安裝火絨終端(企業(yè)版/個人版)或者第三方殺毒軟件進行防護,并且進行定時殺毒。對財務(wù)等高價值人員進行相關(guān)培訓(xùn)或者告知相關(guān)病毒利用手法,防范點擊陌生鏈接,確認信息來源真實性。嚴(yán)格遵守相關(guān)的工作規(guī)范,降低通過身份偽造、語言誘導(dǎo)導(dǎo)致的財產(chǎn)損失。