最近很多企业都中了银狐，这里出一个简单处置和分析的文章
1、现象确认
存在外联银狐的域名或IP

2、病毒文件定位
由于银狐会拉起计划任务，所以我们直接去计划任务找，这样比通过外联定位进程名再定位文件所在位置要快些和简单些。

（1）可以看到有以下计划任务，格式一般为在一个随机生成的目录名下运行一个exe文件，目录名和exe名都是随机生成的

（2）直接到计划任务所在的目录去找，可以看到有以下结构的文件，一个edge.xml一个edge.jpg和随机文件名的exe文件以及和exe同名的dat文件

3、处置过程
（1）停止外联进程：根据计划任务定位到的exe名去找进程的pid

终止进程

（2）删除银狐病毒所在的整个文件夹

（3）删除计划任务

4、溯源
（1）根据银狐病毒落地时间使用lastActivityView工具定位用户是如何感染病毒的

（2）可以看到用户运行了QQ收到的一份文件名为《本市2023年度企业税收稽查名单公布.rar》的文件，通过winrar打开后运行了内部名为2023.exe的木马文件

（3）根据工具看到的目录找到该钓鱼文件并删除（如果想研究下可以备份下样本，记得加密压缩）

5、逆向分析
xml文件为PE文件，攻击者为了安全软件无法能够正常识别程序将PE头标识MZ去除。

修复PE头之后分析，该程序必须需要加入参数才能够运行，接收到参数之后创建新线程。

并且创建任务计划主要是为了实现程序维权。

接着读取edge.jpg图片内包含的shellcode信息，将其拷贝进内存当中执行，实现远程控制的目的。

6、应急报告输出