Synaptics 蠕虫病毒感染解决方案

cdj68765 · 发表于 2019-12-3 00:47

最近中了一个挺讨厌的病毒，没想到自己用电脑还挺小心的也会中这种病毒。
中了该病毒的特征如下

文件描述、说明、名称变成了Synaptics Pointing Device Driver，简单来说就是被套了一个壳

查了下二进制信息也确实如此，一个Delphi写的壳，没有别的了

然后感染目标是

遍历当前系统桌面目录，感染桌面目录下所有能够找到的exe，因为我的文档也会设置在桌面显示，所以我的文档目录里面exe文件也会被遍历感染，
但并不会通过快捷方式感染本体，也不会感染到其他盘符。

然后运行以后，会在程序运行目录释放

程序的本体，并且隐藏，还在本体程序前面增加前缀._cache，说实话，看到这里感觉还挺无语的..不过也获得一个重要的线索，就是病毒会主动释放程序本体（谁写病毒会这么写的？再差不也应该跟那些加密壳一样的做法，在内存里释放然后内存里运行么）
有了这个线索以后只要跟踪释放的函数过程就能写还原程序了

最后这个程序会在上述目录下解压本体，并把本体的该路径添加到注册表启动启动项，如果装了杀毒软件，或者防火墙的话，这一步就会被拦下来了（我没装任何这类防护软件，所以中招了）
所以在管理器里面关闭这个程序后再手动删除这个文件以及注册表启动项目就能解决，这不难。但是这个程序感染的桌面文件处理起来有点麻烦，因为这玩意只有运行过一遍才会释放程序本体并隐藏，没有运行还是保持病毒套壳的原样，所以我们还是看一下病毒释放程序的过程吧。

通过查看调用堆栈发现，该程序首先使用文件名查找带有._cache前缀的程序本体在不在，不在的话从套壳的文件里释放资源文件，然后使用命令行形式调用释放后的程序本体
既然这个程序做了这么几步，那我也照着他的做法再做一遍就行了

[C#] 纯文本查看 复制代码

1

2

3

4

5

6

7

8

9

IntPtr module = NativeMethods.LoadLibraryEx(FileAddress, IntPtr.Zero, 2);
var resourceInfo = NativeMethods.FindResourceEx(module, "#10", "EXERESX", 0);
uint resourceLength = NativeMethods.SizeofResource(module, resourceInfo);
IntPtr resourceData = NativeMethods.LoadResource(module, resourceInfo);
IntPtr resourcePtr = NativeMethods.LockResource(resourceData);
byte[] resourceBytes = new byte[resourceLength];
Marshal.Copy(resourcePtr, resourceBytes, 0, resourceBytes.Length);
NativeMethods.FreeLibrary(module);
File.WriteAllBytes(FileAddress, resourceBytes);

基本上没啥难度的，接下来写一个再套一个遍历目录的方法就行了。
解决方案就是，下载https://wwck.lanzouf.com/b00wiko3i 密码:exrt
双击打开并且等待结果就行。
2020-11-17更新
修复不扫描非NTFS格式磁盘以及U盘功能
2020-05-22更新
1：增加全盘扫描
2：增加U盘扫描
3：增加第二套扫描模式，遍历文件目录扫描(速度较慢，在检测到非NTFS文件系统下才会使用)
4：使用Open XML SDK模块对被感染的Excel文件进行处理，删除病毒VBA代码，恢复成xlsx格式，被感染的xlsm文件以防万一移入回收站而不直接删除
目前已知问题，对某些exe文件会无法恢复，问题发生的原因不明，程序会自动跳过该类文件但是病毒还在要小心
对长路径名的文件无法处理，这个是Win系统的通病，我也不清楚病毒是怎么做到对长路径和长文件名的感染的
被感染的xlsm文件恢复还处于验证阶段，需要你们的测试结果

8204118 · 发表于 2019-12-3 01:13

提示: 该帖被管理员或版主屏蔽

cdj68765 · 发表于 2020-2-26 22:36

zqhyou 发表于 2020-2-26 21:33
大佬，我的移动硬盘exe也被感染了这个查杀无法检测到我重装系统后硬盘里还有怎么破啊

https://www.lanzouj.com/i9pn15i
又改了一次程序，不过有个要求是任何盘符的格式必须是NTFS，如果是FAT32会无效

cdj68765 · 发表于 2020-2-22 14:25

q1595883404 发表于 2020-2-22 13:32
大佬，这个只能恢复桌面的，能不能写个全盘修复的，我全盘被感染了，现在病毒已经被杀死，桌面文件也恢复了 ...

https://www.lanzouj.com/i9kp6je
这是全盘搜索的，不过我奇怪的是，这个病毒明明不会全盘感染的啊，是不是哪里搞错了

cdj68765 · 发表于 2021-10-23 11:38

Struggle01 发表于 2021-10-23 11:12
楼主您好，我把文件放在蓝奏云里了，如果能恢复，我必有重谢。感激不尽https://www.lanzouw.com/iucJgvnn ...

你好，你提供的这两个表格里，都没有病毒或者别的啥，其中序号这个表格里有数据
如果这个表格经过我写的这个软件处理过，那么在回收站里应该有相应的原始xlsm文件并带有病毒，请把这个原始文件发给我看，如果没有，代表这个表格本身就没有病毒，但是数据不在

Struggle01 · 发表于 2021-10-23 11:12

Struggle01 发表于 2021-10-23 10:56
您好，我有两个最重要的两个xlsm文件还是没办法恢复怎么办？

楼主您好，我把文件放在蓝奏云里了，如果能恢复，我必有重谢。感激不尽https://www.lanzouw.com/iucJgvnnn0f

guangdate · 发表于 2019-12-3 09:13

分析很透彻。没解决方案？

cdj68765 · 发表于 2020-11-17 11:20

本帖最后由 cdj68765 于 2020-11-17 13:28 编辑

_缘于天际的星i 发表于 2020-11-17 10:27
感谢，(会开源么~？学习的第一门语言就是C# 蛤蛤··

10：31 好像还是有点问题欸··

额，你的光驱盘符，真是奇怪连try都没法跳过光驱没有内容的错误，算了
https://wwx.lanzoux.com/inSYkih87fa
更新了检测光驱就跳过，你再试试
https://wwx.lanzoux.com/i62zGih8bcb
这个是源代码，你看看

cdj68765 · 发表于 2020-11-17 10:11

_缘于天际的星i 发表于 2020-11-17 08:21
获取U盘文件会被自动跳过···并不会修复
文件系统 exFAT . FAT32

已经修复该Bug，请从https://wwx.lanzoux.com/i93EFih4zaj重新下载使用

紫梦伊儿 · 发表于 2020-4-5 15:12

cdj68765 发表于 2020-4-2 11:42
看了一下，发现是因为无法正常获取资源文件造成的，但是原因不明，暂时先用https://www.lanzouj.com/i9pn ...

谢谢楼主，最好更新下主贴里的地址吧，我用主贴的好像不干净，现在试试这个好像好一些

cdj68765 · 发表于 2020-3-4 15:59

1365959675 发表于 2020-3-4 15:47
我又回来了，我发现查了一下又出现这个病毒了，并没有清理干净，我试一下新发的全盘，还有这程序直接把原文 ...

你看一下桌面上有没有Excel表格，并且后缀为xlsm，如果有，发给我看一下

chx59 · 发表于 2019-12-3 05:09

是啊，如何解决问题才是最重要的！

ysy2001 · 发表于 2019-12-3 08:23

还是没解决啊。

yu13740000 · 发表于 2019-12-3 09:04

好可怕啊

dutyzqly · 发表于 2019-12-3 09:06

分析的很详细，感谢

li217322810 · 发表于 2019-12-3 09:16

中招过，后面用杀毒解决了

cgzrjl · 发表于 2019-12-3 09:20

看到这个标题,再点进来看到图片中的._cache_才知道我跟楼主一样中了这个病毒

Deschanel · 发表于 2019-12-3 09:29

感谢大佬分享，学习了

帐号		自动登录	找回密码
密码			注册[Register]

8204118 8204118 当前离线好友阅读权限 10 听众最后登录 1970-1-1 头像被屏蔽	8204118 发表于 2019-12-3 01:13 提示: 该帖被管理员或版主屏蔽
	【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
	回复支持 0 举报

[PC样本分析] Synaptics 蠕虫病毒感染解决方案

免费评分

本帖被以下淘专辑推荐:

免费评分

免费评分