2026 年 5 月 21 日国家病毒中心再次发预警，出新变种，伪装更隐蔽、窃密更强。

一、它是什么？

• 类型：Windows 平台为主的远程控制木马（RAT），可远控、截屏、录屏、窃取账号密码与验证码。
• 别名：游蛇、谷堕大盗、UTG-Q-1000。
• 核心特点：伪装极强、长期潜伏、免杀好、专偷钱 / 数据。

二、最新爆发（2026 年 5 月）

• 官方捕获一批新变种，文件名带：内部调查结果、违纪名单、裁员补偿、薪资调整等。
• 伪装成：文件夹、快捷方式、PDF/Word 文档、压缩包，图标极像正常文件。
• 传播渠道：企业微信群、钉钉、QQ、邮件，冒充 HR、财务、税务通知。

三、怎么中招的？

典型流程：

1. 你在群里收到 “金税四期 / 五期补丁、裁员补偿表、违纪通报” 等文件 / 链接。
2. 点开 / 解压 / 运行（文件名常带.msi/.zip/.exe）。
3. 木马静默安装，藏在 C:\Program Files\Internet Explorer\ 等目录，长期后台运行。
4. 黑客远程接管电脑：看屏幕、操作鼠标、偷网银 / 支付验证码、转账、盗数据。

四、主要攻击谁？

• 首选：企业财务、会计、出纳、HR、外贸业务员（管钱 / 敏感数据）。
• 次选：政府、高校、医院、国企员工。
• 目的：盗资金、窃商业秘密、勒索、作为诈骗跳板。

五、有多危险？

• 全远控：相当于电脑被实时直播 + 遥控。
• 验证码全拿：短信、微信、支付宝、网银验证码均可被窃取，直接转走钱。
• 潜伏难发现：不弹窗、不卡顿、免杀主流杀软，可藏数月。
• 横向扩散：中招后，黑客会用你的账号在群里继续发毒，扩大感染。

六、怎么防范？（重点）

1. 不点开：群里陌生 / 可疑文件（尤其 “补偿、调查、税务”）一律不点、不下载、不运行。
2. 看图标 + 后缀：真文件夹不会是 “快捷方式 + PDF/EXE 后缀”。
3. 官方渠道：税务、工资、通知只从官网 / 内部办公系统获取，不点群内链接。
4. 杀软 + 系统更新：及时打补丁，用主流安全软件全盘扫描。
5. 财务电脑隔离：财务机尽量不聊微信 / QQ，专机专用。

七、一句话总结

银狐就是一伙专盯中国企业财务的 “数字绑匪”，靠伪装成 “裁员、税务、补偿” 文件骗你点开，一旦中招，电脑被完全控制、钱和数据都危险。2026 年 5 月新变种正在扩散，重点防群内陌生文件。

银狐病毒自查 + 应急极简步骤

一、快速自查

1. 查看桌面 / 下载文件夹，警惕违纪名单、薪资调整、税务补丁类可疑文件
2. 显示文件后缀，排查.exe``.msi伪装成文档、文件夹的文件
3. 打开任务管理器，查找陌生异常进程，发现不明高占用进程立即结束
4. 检索路径：C:\Program Files\Internet Explorer，查看有无陌生程序

二、中招立刻处置

1. 马上断网，拔掉网线 / 关闭 WiFi，阻断远程操控
2. 退出网银、支付、办公账号，修改所有登录密码
3. 全盘杀毒扫描，删除可疑程序与文件
4. 财务设备暂停转账、资金操作，核查账户流水

三、日常防护要点

1. 群聊陌生文件、链接一律不下载、不双击运行
2. 办公电脑关闭自动运行，始终显示文件扩展名
3. 定期更新系统补丁与安全软件，财务机尽量隔绝社交软件
4. 收到可疑通知，先电话核实发布人，切勿直接点开