银狐病毒处置与分析技术文档

1. 病毒现象确认

• 存在外联银狐病毒相关域名或IP的网络连接
• 系统出现异常行为，如不明进程、网络流量异常等

2. 病毒文件定位方法

快速定位途径：通过计划任务

银狐病毒通常会创建计划任务实现持久化，因此检查计划任务是快速定位的有效方法：

1. 检查系统计划任务列表
2. 查找特征：
   • 任务名称和路径中包含随机生成的目录名和exe文件名
   • 典型路径格式：[随机目录名]\[随机文件名].exe

文件结构特征

在病毒文件目录中通常包含以下文件：

• edge.xml - 经过修改的PE文件（去除了MZ头）
• edge.jpg - 包含shellcode的图片文件
• [随机文件名].exe - 主病毒程序
• [同名].dat - 与exe同名的数据文件

3. 病毒处置流程

3.1 终止恶意进程

1. 通过计划任务定位到的exe文件名
2. 在任务管理器中查找对应进程
3. 记录进程PID
4. 终止该进程

3.2 删除病毒文件

1. 定位到计划任务指向的病毒文件所在目录
2. 删除整个病毒文件目录（包括所有相关文件）

3.3 清理计划任务

1. 删除银狐病毒创建的计划任务
2. 检查是否有其他可疑计划任务

4. 感染溯源分析

4.1 确定感染时间

使用lastActivityView等工具：

1. 根据病毒文件落地时间确定感染时间窗口
2. 检查该时间段内的用户活动

4.2 分析感染途径

常见感染方式（如示例案例）：

1. 用户收到伪装文件（如名为《本市2023年度企业税收稽查名单公布.rar》的压缩包）
2. 用户解压并执行了内部恶意程序（如2023.exe）

4.3 清理感染源

1. 定位并删除钓鱼文件原始位置
2. 如需保留样本：
   • 加密压缩备份
   • 存储在隔离环境

5. 技术分析

5.1 文件分析

• edge.xml文件特征：
  • 实际为PE可执行文件
  • 攻击者去除了"MZ"头标识以规避安全软件检测
  • 需要修复PE头后才能正常分析

5.2 行为分析

1. 程序执行特性：

   • 需要特定参数才能运行
   • 接收参数后创建新线程

2. 持久化机制：

   • 通过创建计划任务实现程序驻留

3. 恶意功能：

   • 读取edge.jpg中的shellcode
   • 将shellcode注入内存执行
   • 实现远程控制功能

6. 防护建议

1. 用户教育：

   • 警惕不明来源的压缩文件和文档
   • 特别是带有"紧急"、"重要"等诱导性标题的文件

2. 技术防护：

   • 启用文件扩展名显示
   • 限制高风险文件类型的执行
   • 部署终端检测与响应(EDR)解决方案

3. 应急准备：

   • 建立恶意软件处置流程
   • 保留常用分析工具（如lastActivityView）
   • 定期进行安全演练

7. 报告输出要点

完整的应急响应报告应包含：

1. 发现时间与方式
2. 影响范围评估
3. 病毒行为分析
4. 处置过程记录
5. 感染原因分析
6. 防护措施建议
7. 后续改进计划