今日，火绒收到反馈，浙江地区多家医院外网电脑遭受远控木马攻击，多人遭受不同程度的财产损失。该事件引起火绒团队高度重视，立即组织专项小组展开调查。经了解，该木马病毒通过钉钉、浙政钉、微信等即时聊天工具，以具有欺骗性文件名的钓鱼文件形式进行传播。一旦用户点击不明文件或扫描钓鱼二维码，电脑或手机就会被远程控制。并且不法分子还会利用受控设备建群，进行多次传播。火绒安全提醒广大用户：切勿轻信不明来源文件及信息，及时安装安全软件并定期进行查杀。

经火绒安全工程师分析确认，不法分子是利用IP-guard对用户进行了远控，病毒样本是一个携带恶意Gh0st后门病毒的QT程序，将加密的恶意代码以资源的形式嵌入PE文件。当程序执行时，这些恶意代码会被释放并利用RPC和COM等系统特性实现后门的持久化，从而在用户不知情的情况下监控电脑活动，持续收集信息并执行恶意操作。信息确认过程中，感谢合作伙伴万宗网络科技（上海）有限公司积极为我们提供帮助。目前，火绒安全产品能够有效识别此类银狐木马，保障用户系统的安全，请广大用户及时更新病毒库以提高防御能力。

银狐木马家族自2021年出现至今，一直保持高度活跃，其攻击目标从早期针对中小企业，逐步转向医疗、教育等民生领域，形成"终端控制-信息窃取-横向渗透"的完整攻击链。基于此类安全威胁，考虑到存在不方便安装火绒安全软件的环境，且IP-guard存在被黑客利用风险，同类事件反馈一直持续。火绒将上线针对银狐远控木马进行查杀的火绒银狐木马专杀工具，以帮助用户更好地防范此类病毒的攻击。该专杀工具会清除环境内IP-guard远控工具，若您需要使用IP-guard，请谨慎使用或在使用专杀工具后重新安装IP-guard。

您可以访问https://down5.huorong.cn/tools/Hrkill-SilverFox.exe下载火绒银狐木马专杀工具。