银狐处置及分析

最近很多企业都中了银狐，这里出一个简单处置和分析的文章

存在外联银狐的域名或 IP

由于银狐会拉起计划任务，所以我们直接去计划任务找，这样比通过外联定位进程名再定位文件所在位置要快些和简单些。

可以看到有以下计划任务，格式一般为在一个随机生成的目录名下运行一个 exe 文件，目录名和 exe 名都是随机生成的

直接到计划任务所在的目录去找，可以看到有以下结构的文件，一个 edge.xml 一个 edge.jpg 和随机文件名的 exe 文件以及和 exe 同名的 dat 文件

停止外联进程：根据计划任务定位到的 exe 名去找进程的 pid

tasklist | findstr 进程名称

终止进程

taskkill /F /pid 进程pid

删除银狐病毒所在的整个文件夹

删除计划任务

根据银狐病毒落地时间使用 lastActivityView 工具定位用户是如何感染病毒的

https://www.nirsoft.net/utils/computer_activity_view.html

可以看到用户运行了 QQ 收到的一份文件名为《本市2023年度企业税收稽查名单公布.rar》的文件，通过 winrar 打开后运行了内部名为 2023.exe 的木马文件

根据工具看到的目录找到该钓鱼文件并删除（如果想研究下可以备份下样本，记得加密压缩）

xml 文件为 PE 文件，攻击者为了安全软件无法能够正常识别程序将 PE头 标识 MZ 去除

修复 PE头 之后分析，该程序必须需要加入参数才能够运行，接收到参数之后创建新线程

并且创建任务计划主要是为了实现程序维权

接着读取 edge.jpg 图片内包含的 shellcode 信息，将其拷贝进内存当中执行，实现远程控制的目的

本文作者：1479394864616213原文地址：https://xz.aliyun.com/t/12933

原文始发于微信公众号（刨洞安全团队）：银狐处置及分析