银狐，是一个活跃于我国网络空间的恶意软件家族，最早出现于 2022 年，且攻击目标广泛。它可以长期潜伏在办公、社交、邮件传输等场景，持续迭代变种规避防护检测，伺机发动定向攻击，目前已经形成一条完整的黑色产业链，严重危害个人信息和政企网络安全。前段时间，杭州临平警方接到辖区内的一家电商企业报案，称公司客服人员的一台电脑出现异常卡顿、鼠标不受控制等情况，疑似遭到木马病毒攻击，民警随即赶到现场展开侦查。

杭州市公安局临平区分局网络安全保卫大队民警 戴超杰：当事人接到了一个匿名的顾客，以想要购买公司商品的名义发了一个文件包。客服以为对方是发了一些商品的款式需求，就把这个下载下来，结果点开之后，发现里面的东西打不开，点击了也没有反应，那也就没有再当回事了。

看似毫无反应的文件包，实则在客服人员点击之后，" 银狐 " 木马已经悄然潜入计算机内，并取得了控制权限。

除了杭州临平区的这家企业，杭州网安部门通过技术手段排查发现，同一段时间内，全市共有 12 家电商企业遭到同样的木马病毒攻击，不法分子均以冒充顾客在线上咨询的方式进行 " 投毒 "。

杭州警方与安全团队紧密合作，最终成功溯源并抓获了一个位于外省的黑客犯罪团伙。该犯罪团伙瞄准电商商户群体，以虚假交易咨询为幌子，诱导商户下载并运行恶意程序，利用 " 银狐 " 木马程序远程控制商户电脑，窃取账户交易信息，实施精准犯罪。

包括本案在内，近年来杭州网安部门严厉打击涉 " 银狐 " 木马黑灰产犯罪，成功打掉 4 个 " 银狐 " 木马黑灰产团伙，抓获犯罪嫌疑人 34 名，查获木马样本 100 余个、源代码文件 3 万余个，涉及全国被侵害电脑设备 3000 余台。

记者查询相关数据显示，去年，银狐木马针对办公场景、金融交易等领域的攻击事件激增，已造成全国超 1000 家企业累计损失超 20 亿元。那么 " 银狐 " 木马到底是个什么样的病毒？被植入 " 银狐 " 的电脑会呈现什么样的状态？网络安全专家进行了揭秘。

中国计算机学会安全专业委员会数字经济与安全工作组成员 方宇：银狐木马主要通过伪装成通知、报表、发票等办公文件，以及一些常用的软件安装包，借助钓鱼邮件等进行分发传播，依靠劫持技术，内存无文件驻留等技术，绕过杀毒软件实现长期潜伏，它具备完整的 " 远控能力 "，可以实时地查看电脑操作，窃取各类账号密码和企业财务商业秘密。

网络安全专家表示，一旦电脑被植入银狐木马，等于黑客同时拥有了电脑的控制权，黑客可以在后台对受控电脑进行任何操作，且不被受控电脑感知到。

银狐木马不仅会窃取电脑数据，而且有对文件强加密功能，黑客会加密电脑重要数据然后勒索企业。

中国计算机学会安全专业委员会数字经济与安全工作组成员 方宇：它会生成一个非常隐秘的密码，对原有终端上的文件进行加密，只有向黑客支付一定的费用，黑客才会把这个密码告诉给被勒索方，然后才能去正常地查看这些高价值的文件。

网络安全专家介绍，银狐木马防查杀能力极强，一旦背后的黑客对木马进行升级或者更新，就能躲过安全软件的查杀。等到安全软件记录备案了新变种木马时，银狐木马可能再一次进行了更新，而目前被记录的银狐木马变种已经有 3 万多个。面对最新型银狐木马，电脑安全软件总会显得晚了一步，我们该怎么办呢？

中国计算机学会安全专业委员会数字经济与安全工作组成员 方宇：由于银狐木马所监控的终端具有高价值特性，导致这些木马的后端黑灰产时刻跟进这些杀毒软件的更新迭代。那么一旦出现一些可能被查杀和封堵的情况，后台就会及时更新木马的版本，从而保证在一段时间内不被杀毒软件查杀和封堵。

杭州市公安局网安支队网上公共安全大队民警 陈毓栋：要警惕陌生人发送的不明文件，尤其是 exe、压缩包等可执行文件，不要被文件的图标和名称所误导。公司要对财务、客服人员进行重点的培训，尤其是常见的木马的伪装的形式要进行科普。广大群众在下载软件时务必前往官方网站，切勿通过第三方转载网站，网盘分享链接以及陌生社群渠道进行下载。