文章总结： 近期多地爆发银狐病毒，利用微信钉钉已登录状态自动发送恶意文件扩散。该病毒虽不直接盗号，但可进行远程操控。防范需严守三不原则，核实发件人并开启杀毒软件。排查建议使用火绒、银狐专杀及360多轮全盘查杀，检查异常进程与远程端口，卸载非授权远程控制软件，确保办公终端安全。 综合评分： 88 文章分类： 恶意软件,办公安全,应急响应,威胁情报,解决方案

多地爆发 “银狐” 病毒，办公场景成重灾区，这些防范要点必看

原创

宝十八

网络安全老宋

2026年1月7日 09:01 山东

导语： 你好，我是老宋。关注我，安全攻防干货第一时间送达！

网络安全无小事，面对不断迭代的病毒攻击，唯有筑牢意识防线、规范操作习惯，才能有效守护个人财产与单位数据安全。

（文章末尾有提供威胁情报文档下载链接）

一、银狐病毒介绍

近期，多地学校、企业及各类事业单位接连遭遇 “银狐” 病毒攻击，该病毒传播速度极快、伪装手段隐蔽，已造成部分受害者财产损失，引发广泛警惕。

银狐木马本身并不具备盗取微信、钉钉账号密码的能力，它只能利用已经在受害者电脑上处于登录状态或开启了自动登录的聊天软件，通过远程控制来进行操作。

攻击者通常会利用被控制电脑的微信或钉钉执行“拉群”、“点对点私聊”等操作，然后给好友或群成员发送伪装成文档、图片、压缩包的木马文件或钓鱼链接，诱骗更多人点击，从而继续扩散。

常见如下：

二、防范措施

在防范工作上，需要坚持”人防＋技防”相结合，全体师生及各单位务必严格落实以下要求：

（一）强化安全意识，严守”三不原则”不轻信陌生号码、未知邮箱发送的信息；不点击短信、微信、邮件中的可疑链接；不运行来源不明、未经核实的可执行文件（尤其警惕．exe、zip等格式文件）。收到同事或”上级”发送的可疑文件，务必通过电话、当面或者通过官方渠道等方式核实真伪，涉及财务转账的指令必须二次确认，不仅凭单一聊天工具信息操作，尤其是遇到领导发来的紧急转账需求时，要多次多方确认。如需在网页填写个人信息，特别是密码和验证码一定要谨慎，谨防受骗。

（二）规范操作行为，养成良好习惯关闭微信、企业微信PC端文件自动接收功能；不在工作群内随意转发压缩包、陌生链接；仅从学校正版软件平台或官方网站下载安装软件，严禁使用破解软件、盗版资源；重要信息系统账号设置高强度密码（大小写字母＋数字＋符号），定期更换并启用双因素认证；离开座位时及时锁屏，下班后关闭设备电源。

（三）加强技术防护，筑牢安全屏障个人电脑、办公终端必须安装正版杀毒软件（如360安全卫士、火绒安全等），保持实时监控开启并定期更新病毒库；及时安装操作系统及软件安全补丁，每周至少开展1次病毒快速扫描，每月或设备出现异常时进行全盘查杀；重要教学科研数据、个人关键信息建立”本地＋异地”双备份机制，核心数据不单一留存于本机存储介质。发现电脑运行异常或疑似感染病毒，立即断网隔离设备，查杀病毒后再恢复联网，必要时向网络安全部门或警方求助。

三、银狐病毒排查详细操作

1.电脑排查：依次使用火绒安全杀毒软件、360杀毒软件、银狐专杀工具进行全盘深度扫描（先使用火绒安全杀毒软件进行全盘查杀，等火绒查杀完成之后对查杀出来的病毒进行清除；再使用银狐专杀工具进行全盘查杀，并对查杀出来的病毒进行清理；最后使用360杀毒进行全盘查杀），清理之后的病毒文件会被杀毒软件保存在隔离区，隔离区的病毒文件是否需要提取联系安全人员，对查杀结果进行拍照留存，最终删除隔离区的文件。火绒使用完之后，要把火绒卸载掉，留360杀毒软件即可。

备注：查杀过程中可能会出现蓝屏、死机的情况，若出现联系安全人员进行系统重装，其他盘也需要进行格式化。

2.使用ctrl+shift+esc组合键打开“任务管理器”，查看“任务管理器”中未知进程（名称含乱码、无明确软件关联），如不确定的联系安全人员进行确定，若存在以上未知进程需要立即结束进程，在结束进程之前需要使用“打开文件所在的位置”去查看该进程涉及到的文件，并将该文件进行删除。

3.使用键盘的WIN+R组合键打开运行窗口，输入cmd进入命令行页面，在命令行页面中输入命令netstat -ano查看3389、5900等远程控制常用端口非授权占用情况，若发现有以上端口的占用情况，立即使用windows系统自带的防火墙关闭端口（使用电脑的搜索功能搜索“防火墙”并打开，在入站规则中新增策略，协议需要分别选择TCP和UDP（先对TCP做，再对UDP做），填写端口并选择阻止连接。出站规则同理）

端口占用情况只需要关注“本地地址”中的端口情况，且地址是0.0.0.0的不看。

4.移动存储介质排查：对所有接入过政务系统的U盘、移动硬盘等，接入专用隔离设备完成病毒扫描，确认无风险后再接入政务工作设备。若中毒电脑接入了U盘，并且该U盘也插入了其他电脑中，该电脑也需要进行查杀。若没有专用隔离设备，则U盘需要封存禁止使用。

5.使用everything工具检索电脑上是否存在todesk、向日葵等远程连接、远程控制性质的客户端（可输入todesk、向日葵、远程控制、远程连接、远程字样进行搜索），若发现存在需要立刻卸载删除，并在回收站中进行清除。

6.在以上步骤处理完成之后，做最后一次查杀。安装360安全卫士，在查杀引擎中打开云查功能，将电脑接入网络，再次进行全盘查杀。若还存在病毒文件，进行清除并清空隔离区。

在设置-多引擎设置中，勾选云查杀引擎的病毒查杀和实时防护，详见下图：

四、威胁情报文档下载链接

链接: https://pan.baidu.com/s/1F6AUEzZitApJaYy0P-UGYw?pwd=wur7 提取码: wur7

往期精彩

2025银狐木马年度报告

如果你感觉有用，帮忙点个免费的关注转发，你的支持是我更新的动力

关注我的人，顺风顺水顺财神，朝朝暮暮有人疼！无一例外！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全老宋 宝十八《多地爆发 “银狐” 病毒，办公场景成重灾区，这些防范要点必看》