全校各单位、全体师生员工：

近日，信息化建设与管理中心检测发现，危害windows系统的“银狐”木马病毒通过微信等社交软件传播，具有隐蔽性强、危害性大、传播迅速的特点。为保障校园网与个人信息安全，现就有关事项通告如下：

一、“银狐”木马病毒基本情况

“银狐”木马病毒（又名“游蛇”“谷堕大盗”）是近期非常活跃的一种恶意软件，主要针对企事业单位人员进行攻击，重点是财务、税务、人事等关键岗位人员。

“银狐”木马病毒最显著的特点是高度隐蔽和极强的欺骗性。它常伪装成与工作密切相关的文件，例如“发票”“人员名单”“补贴通知”“税务稽查”等。攻击者将这些恶意文件通过微信群、QQ群、钓鱼邮件等渠道传播，利用社会工程学手段诱导用户点击。一旦用户运行了这些伪装的程序（常见格式.exe、msi或藏在加密压缩包内），计算机就会被植入木马。该木马会创建系统计划任务，实现持久化驻留，并释放多个恶意程序文件。攻击者随后便能对受感染的计算机实施远程控制，窃取敏感信息（如社交账号、邮箱密码、网银信息），甚至利用该计算机作为“跳板”进一步实施诈骗或在内网扩散病毒。

近期活跃的“银狐”木马病毒，是由攻击者在微信群中发布名为“关于校内处理违规违纪通知.exe”的文件，诱导用户点击，一旦运行该程序，计算机将被植入“银狐”木马。

木马运行后释放恶意程序文件：

C:\Windows\System32\Tasks\Microsoft\Windows\Multimedia\Microsoft Compatibility Internet Explorer

C:\Windows\System32\Tasks\Microsoft\Windows\LanguageComponentsInstaller\ Microsoft Compatibility Internet Explorer

C:\Windows\System32\Tasks\Microsoft\Windows\Windows Error Reporting\CrlGWtrmOejGseeLLxWKuh

同时生成银狐木马启动文件：

C:\Program Files\Internet Explorer\nvgpu_x64.exe

C:\Program Files\Internet Explorer\nvml.bin

C:\Program Files\Internet Explorer\nvml.dll

或者

C:\Program Files\Internet Explorer\AAqxw\QduoQFO.exe

C:\Program Files\Internet Explorer\AAqxw\nvml.dll

C:\Program Files\Internet Explorer\AAqxw\nvml.bin

二、防范措施

1.切勿打开来源不明的文件或链接，尤其是扩展名为.exe、.msi、.scr、.bat等可执行文件。对于任何标称“内部文件”“通知”“名单”等敏感信息的可执行程序，务必通过官方渠道核实。带密码的加密压缩包并不代表内容安全，需保持警惕。

2.收到单位、同事或群组内发布的文件链接时，应先通过电话或其他可靠方式确认其真实性。不要轻信社交媒体中传播的所谓政府机关和公共管理机构发布的通知及相关工作文件。

3.不轻信诱骗性文字，不随意在非授信计算机上登录个人账号。为计算机及应用账号设置复杂密码并定期更换（包含大小写字母、数字及特殊符号）。

4.只从官方网站或应用商店下载软件，避免使用破解软件或从不明来源下载不安装来源不明的软件。

5.定期备份重要数据文件，持续增强自身网络安全意识。

6.安装正规杀毒软件，保持实时监控功能开启，并定期更新病毒库。学校提供正版杀毒软件，下载方法：师生可通过信息化建设与管理中心网站【下载中心】【校园网客户端及相关软件下载】专栏获取安装包。该软件具备实时防护、病毒查杀及漏洞修复功能，支持Windows/Linux双平台运行。建议安装前卸载第三方安全软件以避免冲突。

三、应急处置流程

若错误点击相关文件，或发现计算机出现微信等社交软件自动发送消息等异常情况，请立即参照以下步骤处置：

1.立即断开网络（拔掉网线或关闭Wi-Fi）

2.使用专业杀毒软件全盘查杀（若无法清除，请考虑重装系统）

3.手动清理木马文件残留

本次“银狐”木马会创建系统计划任务实现持久化驻留，并释放恶意程序文件，若在以下路径中发现相关文件，请予以删除：

C:\Windows\System32\Tasks\Microsoft\Windows\Multimedia\Microsoft Compatibility Internet Explorer

C:\Windows\System32\Tasks\Microsoft\Windows\LanguageComponentsInstaller\Microsoft Compatibility Internet Explorer

C:\Windows\System32\Tasks\Microsoft\Windows\Windows Error Reporting \CrlGWtrmOejGseeLLxWKuh

C:\Program Files\Internet Explorer\nvgpu_x64.exe

C:\Program Files\Internet Explorer\nvml.bin

C:\Program Files\Internet Explorer\nvml.dll

C:\Program Files\Internet Explorer\AAqxw\QduoQFO.exe

C:\Program Files\Internet Explorer\AAqxw\nvml.dll

C:\Program Files\Internet Explorer\AAqxw\nvml.bin

4.清除微信缓存中的病毒文件：

访问路径{user}DocumentsWeChat Files{你的微信ID}MsgFile2025-11（其中{user}是你的系统用户名，{你的微信ID}是你的微信账号），计算机版微信可按下图方式查看：

在该目录下，查找并彻底删除名为“关于校内处理违规违纪通知.exe”的文件，以清除通过微信接收的病毒源文件。

5.修改所有相关密码（包括应用系统、邮箱等）

6.必要时重装系统：如感染严重或反复出现异常，应在备份重要数据后，重新安装操作系统。

7.寻求技术支持：若无法自行完成查杀或清理，请联系信息化建设与管理中心技术支持热线（电话：88857212）寻求帮助。

网络安全无小事，办公场景中名为“内部文件”“常用软件”的内容尤其需要警惕。请切记：陌生文件不打开，可疑链接不点击，共同筑牢校园网络安全防线！

信息化建设与管理中心

2025年12月11日