摘要：“这U盘没用好几年了，昨天才翻出来，刚想拷个课件进去，结果就……”学校年轻的网管小陈一边听着周老师说，一边看着电脑屏幕上规律起伏的数据波形，感觉到不对劲，随即拨通了佛山城市网络安全运营中心的电话求助。“覃工，这病毒会喘气！”

你的U盘，安全吗？

——佛山城市网络安全运营中心情报月刊（2025年5月）

2025年4月，佛山某学校的教师办公主机发生恶意软件通信，引发挖矿事件，经调查取证，证实该事件是由老师携带感染病毒的移动设备回校造成。

以下故事由佛山城市网络安全运营中心《网安覃工》编辑部根据上述事件改编。网络安全无小事，请持续提高安全意识。

4月的某个清晨，佛山某中学的数学老师老周握着保温杯愣在椅子上——他刚插进办公电脑的U盘，此刻正闪烁着诡异的红光，而电脑屏幕跳出了一串串的乱码。

“这U盘没用好几年了，昨天才翻出来，刚想拷个课件进去，结果就……”学校年轻的网管小陈一边听着周老师说，一边看着电脑屏幕上规律起伏的数据波形，感觉到不对劲，随即拨通了佛山城市网络安全运营中心的电话求助。“覃工，这病毒会喘气！”

赶赴现场后，中心的技术大拿覃工推了推眼镜，鼻尖几乎贴到屏幕：“不是喘气，是矿机呼吸频率。有人在用学校电脑挖币。”经过勘察，病毒已通过学校老旧且非正版系统的漏洞，把机房改造成了“矿工集训营”。

覃工蹲在机柜前，用螺丝刀戳了戳发烫的服务器：“难怪挖矿效率高，这堆盗版系统连补丁都没打，我是黑客也会两眼发光。”

溯源发现，病毒本体是2021年某倒闭教培机构开发的“智能阅卷助手”。这坨代码在U盘里休眠四年，遇到混杂的Win7/Win10系统后，竟误判为“试卷格式不统一”，启动自愈程序疯狂安装盗版运行库。更绝的是，过期防火墙把它当成“正版系统升级包”，还贴心地开了绿色通道。

“各位老师请看。”覃工在应急会上调出病毒日志，“这位‘阅卷助手’以为自己在批改数学卷，其实是在给黑客打工。”投影屏闪过一行代码：if(系统=正版){自毁}; else{继续挖矿}。现场哄堂大笑——原来病毒都懂支持正版！

行动分两步：覃工一方面要求学校加强终端安全防护，安装EDR；一方面让学校着手对防护库授权进行更新。

一周后，学校电子屏滚动播放覃工制作的《网络安全三字经》：“U盘毒，莫乱插；系统旧，赶紧擦；防火墙，要续费！”据说数学老师老周把那枚惹祸的U盘做成了钥匙扣，背面刻着覃工手写的警示：“此物曾歼灭100台矿机。”

前段时间，台湾黑客组织曾利用日本代理服务器，针对佛山某企业部署的文件加密软件的漏洞进行攻击，并上传恶意文件。巧合的是，就在5月，广州某科技公司同样遭到了该黑客组织的网络攻击，并被上传多份恶意代码。

据警方调查掌握，该黑客组织近年针对中国大陆军工、能源、交通等1000多个重要网络系统，通过大范围发送钓鱼邮件、公开漏洞利用、密码暴力破解、自制简易木马程序等低端网攻手法实施了多轮次网络攻击。

特别是去年以来，该台湾黑客组织针对中国大陆境内目标的攻击规模和攻击频次均有明显提升，骚扰破坏意图明显，用心极其险恶。

技术专家称，该台湾黑客组织的技术水平整体较低，攻击手法简单粗暴，攻击范围较广，多次被我国网络防护系统监测发现。其自制网络木马程序编程水平低下，留下多处可被反向追踪的犯罪线索。

下一步公安机关将继续对该黑客组织及其骨干成员开展侦查调查，查清犯罪事实，依法严厉打击相关犯罪嫌疑人。

2024年5月，全市互联网网络安全状况整体评价为“良好”，互联网整体运行平稳。

佛山城市网络安全运营中心

2025年5月

佛山城市网络安全运营中心，7×24小时全天候运行，是佛山“1+N+X”城市分布式网络安全防护体系的“最强大脑”，致力建设佛山本地网络威胁情报库。中心与二级平台单位以及广大企业，以“共建共治共享”模式打造“网安共同体”，在网络安全防护中以城市整体协同防御替代原来的“各自为战”，致力实现“情报全城共享，防御全域联动”，为佛山广大企业数字化转型保驾护航。

来源：纷享佛山一点号