大工网安告[2026016]

近期，国家有关部门发布风险提示，“银狐”系列木马病毒持续变种活跃，同时不法分子利用大众对Word、PDF等办公文件的信任，大量投放伪装诱饵文件，实施远程控制、植入后门、窃取敏感信息、盗取个人数据等网络攻击。

一、 情况分析

1、 文件名诱导

多以“内部调查结果”“违纪名单”“违纪通报信息”“裁员补偿”等诱导性词汇为文件名，伪装成文件夹、文档文件或压缩包，实际为针对Windows系统用户的远程控制木马病毒。

2、 文件后缀伪装

一类是“双后缀伪装”，文件名看似“xxx.pdf”，实际是“xxx.pdf.exe”，图标显示为PDF，用户双击后，看似打开PDF，实则运行可执行程序，释放后门；

另一类是“恶意文件伪装”，将恶意.desktop文件伪装成PDF，用户误点后，触发隐藏命令，下载窃密程序。

3、 恶意宏文档攻击

攻击者将恶意宏代码嵌入Word文档，伪装成会议通知、合同、补丁说明等常用文件，邮件标题仿官方口吻，极具迷惑性。用户打开文档后，会弹出“启用宏才能正常显示”的提示，一旦点击“启用内容”，宏代码将自动执行，解密释放恶意载荷，生成伪装成合法程序的可执行文件，植入后门，实现开机自启、远程控机，全程静默无提示。

二、 处置建议

1、 严控陌生文件与社交群组

警惕通讯工具（如：微信、QQ、钉钉、飞书等）或电子邮件中，涉及违纪、裁员、补偿、内部通报等敏感主题文件；拒绝接收、下载、运行陌生人发送的各类文件；同事、外部单位发来的可疑文件，必须通过线下或官方渠道核实身份后再处理。

2、 强化office宏安全管控

立即禁用Office软件默认宏执行功能，仅允许受信任、已签名的宏运行。严禁打开陌生邮件附件中的Word文档，若确需打开，先核实发件人身份，确认无风险后，关闭宏功能再浏览，坚决不点击“启用内容”。

3、 规范PDF文件使用流程

接收PDF文件时，先查看文件名后缀，警惕“pdf.exe”双后缀文件，避免双击直接打开。通过正规PDF阅读器打开文件，开启安全模式，禁止PDF自动运行嵌入式程序。不接收陌生来源、无明确用途的PDF文件，尤其是压缩包中的PDF附件。

4、 加强终端安全防护

安装最新版本的杀毒软件，定期对终端进行全盘查杀；实时监控注册表启动项异常写入，清除后门自启配置。部署动态沙箱等安全防护工具，深度查杀伪装文档。