最近很多企业都中了银狐，这里出一个简单处置和分析的文章

存在外联银狐的域名或 IP

由于银狐会拉起计划任务，所以我们直接去计划任务找，这样比通过外联定位进程名再定位文件所在位置要快些和简单些。

可以看到有以下计划任务，格式一般为在一个随机生成的目录名下运行一个 exe 文件，目录名和 exe 名都是随机生成的

直接到计划任务所在的目录去找，可以看到有以下结构的文件，一个 edge.xml 一个 edge.jpg 和随机文件名的 exe 文件以及和 exe 同名的 dat 文件

停止外联进程：根据计划任务定位到的 exe 名去找进程的 pid

终止进程

删除银狐病毒所在的整个文件夹

删除计划任务

根据银狐病毒落地时间使用 lastActivityView 工具定位用户是如何感染病毒的

https://www.nirsoft.net/utils/computer_activity_view.html

可以看到用户运行了 QQ 收到的一份文件名为《本市2023年度企业税收稽查名单公布.rar》的文件，通过 winrar 打开后运行了内部名为 2023.exe 的木马文件

根据工具看到的目录找到该钓鱼文件并删除（如果想研究下可以备份下样本，记得加密压缩）

xml 文件为 PE 文件，攻击者为了安全软件无法能够正常识别程序将 PE头 标识 MZ 去除

修复 PE头 之后分析，该程序必须需要加入参数才能够运行，接收到参数之后创建新线程

并且创建任务计划主要是为了实现程序维权

接着读取 edge.jpg 图片内包含的 shellcode 信息，将其拷贝进内存当中执行，实现远程控制的目的

关注公众号后台回复 0001 领取域渗透思维导图，0002 领取VMware 17永久激活码，0003 获取SGK地址，0004 获取在线ChatGPT地址，0005 获取 Windows10渗透集成环境，0006 获取 CobaltStrike 4.9.1破解版

加我微信好友，邀请你进交流群

备用号，欢迎关注