小心了，如果你在搜索引擎上寻找常用软件下载链接时，却跳转到了一个中转下载页面，开始下载一些放在Google文件存储服务上的安装包文件，那么就要小心，你可能在下载最新的“银狐”木马。

　　近期，微步在线成功捕获“银狐”木马最新变种。与此前仅采取被动规避检测的模式不同，当前攻击者的技术手段已实现全面升级，通过各种手段，获取存在漏洞的第三方驱动程序并加以利用，从而实施攻击。

　　为了从计算机内核层面让杀毒软件、EDR等终端安全工具失效，攻击者多使用具备知名企业的版权或过期数字签名的驱动程序，目前被恶意利用的驱动程序来自很多知名企业。

　　由于具备合法签名，在检测流程启动前，“银狐”木马便能对终端安全软件的功能进行全面限制，乃至直接关停。因此，该最新变种的后门程序清除难度显著提升，导致应对处置工作更为困难。微步在线研判认为，直接在计算机内核层面使EDR及杀毒软件“失效”的技术手段，已成为“银狐”木马的新型攻击策略。

　　截至目前，微步在线已发现与该变种样本相关的1000余个钓鱼网站和1400余个恶意域名，仿冒对象涵盖爱思助手、易翻译、美图秀秀、酷狗音乐、网易云音乐、有道翻译、小鸟壁纸、WPS等数十款常见软件，变种类型持续增加，是近期规模最大的网络黑产活动之一。

　　防范措施建议

　　结合本次发现的系列木马病毒传播活动的相关特点，建议广大用户采取以下防范措施：

　　1.不要轻信搜索引擎中常用软件的搜索结果，当无法判断软件下载地址的真假时，应认准搜索引擎给出的“官方”认证标签。一旦出现误点、误下载等操作，用户应对自己常用的计算机和移动通信设备进行杀毒和安全检查。

　　2.在备份重要数据的前提下，用户需保持终端安全软件实时监控功能开启，将电脑操作系统和防病毒软件更新到最新版本。目前微步OneSEC、沙箱等产品已经支持对此次“银狐”变种的检测。

　　3.一旦用户遭遇以下异常状况，应立即主动切断计算机设备网络连接，对重要数据进行迁移和备份，并对相关设备进行停用直至通过系统重装或还原、完全的安全检测和安全加固后方可继续使用。

　　（1）操作系统的安全功能和防病毒软件在非自主操作情况下被异常关闭；

　　（2）在排除硬件故障且用户没有主动运行大型应用程序的情况下，电脑的性能突然严重下降且系统资源占用率长时间居高不下；

　　（3）社交媒体或电子邮件等网络应用程序提示用户账户出现异常登录，或反复收到网络服务商发来的登录验证码等异常情况。