吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 39962|回复: 163
上一主题 下一主题
收起左侧

[PC样本分析] 与感染性病毒“Synaptics.exe”战斗的24小时!

    [复制链接]
跳转到指定楼层
楼主
jefel 发表于 2020-4-3 18:42 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 jefel 于 2020-4-8 13:55 编辑

与感染性病毒“Synaptics.exe”战斗的24小时!
这就是病毒“Synaptics.exe”,其属于蠕虫类感染类病毒。

1、行动轨迹:[并行操作,不分先后]
一是:其在C:\ProgramData\Synaptics创建原始病毒文件夹,内含“WS”子文件夹[为空]和“Synaptics.exe”文件[大小:754KB]。
二是:其在C:\用户\***\AppData\Local\Temp中,释放文件“qk3296d7.exe”[大小:753KB,CRC32:7EB2AB4D]

2、上述二项特点:
①此程序图标显示为运行第一次感染的可执行程序,并使用其感染程序图标,其后随着使用者运行感染程序而改变;
②可执行程序被感染后,右键属性后发现“描述”内容被改变为:“Synaptics Pointing Device Driver”[被感染的文件属性改变相同,大小增大,且创建文件时间改变];
③被感染文件首次执行时会在同文件夹内新产生一个和感染文件同名且前缀为:“._cache_”的病毒文件[此文件隐藏];
④系统被感染后,对任何插入的U盘,都会被病毒搜索到,并立即采取遍历可执行文件的方式感染。[成为新的感染源,使用者在不知不觉中,只要在其它电脑上运行U说服力中的程序,就会感染其它电脑。]
⑤病毒只感染可执行文件,和网银相关的文件[目的明确],无法感染压缩文件。
⑥病毒首次在硬盘或U盘被触发传染时,硬盘灯或U盘指示灯会狂闪[说明在病毒在疯狂感染文件--就是写文件的过程],同时会莫名弹窗提示文件没有权限,这可能是病毒Bug,也是提醒我们系统已经异常的警报。

⑦其在注册表中创建2个启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mydesk]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mydesk"
"hkey"="HKCU"
"command"="C:\\Users\\WWH\\Desktop\\mydesk 1.0.7.0\\mydesk.exe"
"inimapping"="0"
"YEAR"=dword:000007e4
"MONTH"=dword:00000004
"DAY"=dword:00000002
"HOUR"=dword:00000017
"MINUTE"=dword:0000001e
"SECOND"=dword:0000001e

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synaptics Pointing Device Driver]
"key"="SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Synaptics Pointing Device Driver"
"hkey"="HKLM"
"command"="C:\\ProgramData\\Synaptics\\Synaptics.exe"
"inimapping"="0"
"YEAR"=dword:000007e4
"MONTH"=dword:00000004
"DAY"=dword:00000002
"HOUR"=dword:00000017
"MINUTE"=dword:0000001e
"SECOND"=dword:0000001e

3、处理方法:
①先删除病毒的自启动项;
②再删除病毒本体及复制体文件及文件夹;
③用火绒全盘剿杀,并重新启动系统,再次全盘在剿杀。
④保证系统干净情况下,再用火绒全盘查杀及修复被感染文件[此时文件的创建时间改变,大小会变小,恢复原来大小。]
⑤最后用火绒全盘查杀及修复被感染U盘内文件[此时文件的创建时间改变,大小会变小,恢复原来大小。][特别注意:执行此操作时,火绒所在盘预留20G病毒隔离空间,要不然无法查杀及修复。]
⑥最后系统正常,删除火绒隔离区内的备份的病毒文件。[我的有18G多。第一次不够,又花了一上午重新查杀修复]。


4、总结:
①感染型病毒,就是将自身隐藏在其它执行程序中,达到传播和作恶目的病毒,只要被感染的程序运行,病毒也就跟着激活了。病毒和被感染的程序就像宿主和寄居的关系,只要不破坏宿主,用户就很难发现程序确实中毒了,病毒也得以继续隐藏、作恶,比如窃取你的上网信息、回传系统信息、开后门下载其它病毒等等。更可恶的是,还能继续感染电脑上其它可执行的程序,影响甚大。
②感染型病毒具备寄生性、传染性、潜伏性,隐蔽性、破坏性、可触发性等等各种特征,确保不让用户发现还能做坏事。

③常在河边走,那有不湿脚,但要注意系统的异常,及时止损。
④能装还是装个杀毒软件,因为如果你不是喜好,你不可能座上24小时战斗的。


最后统一回复大家:
并按版规提供病毒源文件:密码:9
因特殊原因不能更改成52pj,还望管理和大家谅解!


还有一点提醒并且十分的 重要:


1、如果感染此病毒期间,电脑用过U盘,肯定已经感染。都须及时用火绒查杀及修复【不会有后遗症】,否则后期会反复感染,没有尽头!!!
2、如果已经感染此病毒【病毒会在正常的*.exe文件后追加一段代码,你一运行,它就会进行疯狂复制和感染】,请一定不要试着运行,按上述方法清除后,用火绒查杀及修复【可以修复感染的文件,时间会长。但文件能正常恢复过来

已经提醒病毒感染传播网站撤回程序!

病毒创建本体.jpg (46.54 KB, 下载次数: 76)

1病毒创建本体

1病毒创建本体

2病毒临时文件处隐藏.jpg (151.05 KB, 下载次数: 80)

2病毒临时文件处隐藏

2病毒临时文件处隐藏

3病毒同体.jpg (95.51 KB, 下载次数: 25)

3病毒同体

3病毒同体

4我第一次运行这个文件中毒!.jpg (45.17 KB, 下载次数: 41)

4我第一次运行这个文件中毒!

4我第一次运行这个文件中毒!

5同名且前缀为:“._cache_”的病毒文件.jpg (104.36 KB, 下载次数: 20)

5同名且前缀为:“._cache_”的病毒文件

5同名且前缀为:“._cache_”的病毒文件

U盘首次弹窗提示.png (40.03 KB, 下载次数: 11)

6U盘首次弹窗提示

6U盘首次弹窗提示

7病毒遍历我的网银系统C.jpg (75.33 KB, 下载次数: 9)

7病毒遍历我的网银系统C

7病毒遍历我的网银系统C

文件大小改变.jpg (81.78 KB, 下载次数: 5)

文件大小改变

文件大小改变

8病毒在注册表创建自启动A.jpg (120.56 KB, 下载次数: 25)

8病毒在注册表创建自启动A

8病毒在注册表创建自启动A

9病毒在注册表创建自启动B.jpg (112.04 KB, 下载次数: 13)

9病毒在注册表创建自启动B

9病毒在注册表创建自启动B

病毒文件MD5校验码.jpg (43.67 KB, 下载次数: 9)

病毒文件MD5校验码

病毒文件MD5校验码

110-1.jpg (270.66 KB, 下载次数: 3)

110-1.jpg

110-2.jpg (190.92 KB, 下载次数: 6)

110-2.jpg

已经提醒病毒感染传播网站撤回程序!.jpg (132.92 KB, 下载次数: 15)

已经提醒病毒感染传播网站撤回程序!.jpg

【Synaptics蠕虫木马】qk3296d7.rar

312.19 KB, 下载次数: 1260, 下载积分: 吾爱币 -1 CB

Synaptics蠕虫木马

免费评分

参与人数 26吾爱币 +22 热心值 +25 收起 理由
安天 + 1 谢谢@Thanks!
crscylla + 1 + 1 我很赞同!
liliqingchuan + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
defloat + 1 + 1 我很赞同!
L無名 + 1 + 1 热心回复!
名字重复好烦啊 + 1 + 1 这病毒真的恶心查杀完过后也不知道什么时候会再出现
Nullpinter + 1 谢谢@Thanks!
zyxm2013 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
没有细胞的人 + 1 要不是看了你的文章,我都不知道我的电脑现在已经感染了QAQ
余弦 + 1 + 1 谢谢@Thanks!
暗夜揽月 + 1 + 1 用心讨论,共获提升!
天涯的芳草 + 1 + 1 用心讨论,共获提升!
a3361920 + 1 每次感染都要用360急救箱全盘扫描2次以上,太烦了
jafck + 1 + 1 谢谢@Thanks!
afdurhza + 1 + 1 我很赞同!
guly666 + 1 + 1 我已经中了N次这个感染了 中一次做一次系统
q13467982 + 1 热心回复!
dliwj + 1 + 1 用心讨论,共获提升!
天之哀伤 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Luke01 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Sacrify + 1 + 1 我也见过这个病毒!
哎黑细作 + 1 + 1 用心讨论,共获提升!
wanghz + 1 + 1 前面也中了这个毒,我的它会一直占用内存,并且用不了多久会占满c盘,用360.
韬. + 1 + 1 谢谢@Thanks!
qqqqiiiu + 1 + 1 未能按照本版块发帖要求发帖,请仔细阅读本版块版规再发帖,谢谢理解!
孤独色的夜 + 1 + 1 厉害。

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
Only1Studio 发表于 2020-4-3 22:57
我这里有一个工具专门对付这个病毒的查杀

https://www.lanzouj.com/iayyyda
推荐
zuiai125520 发表于 2020-4-4 17:57
感谢分享,教程写的很详细。之前中过一次,不过是通过易语言文件感染的,火绒马上拦截了下来,c盘占满最后还是火绒全盘一波结束的
推荐
JuncoJet 发表于 2020-4-3 21:03
这个,好像是之前有人发论坛里的易语言蠕虫?
头像被屏蔽
沙发
细水流长 发表于 2020-4-3 19:59
提示: 作者被禁止或删除 内容自动屏蔽
3#
 楼主| jefel 发表于 2020-4-3 20:09 |楼主
@细水流长,只要按步骤,全程取消系统文件和文件隐藏,先删除病毒的注册表项,再删除病毒文件,然后重启。就可以用火绒全盘查杀及修复被感染的文件了。修复后文件就正常了。除了火绒能够彻底查杀及修复,好像没有比这个简单了,查了下,也没有专门针对此病毒的专杀工具。当然有重要网银等,还是找机会重装下,保险点。
4#
gxdxtmlq 发表于 2020-4-3 20:37
有同感,谢谢指导
5#
vethenc 发表于 2020-4-3 20:44
头像好评
6#
冰雪冬樱250 发表于 2020-4-3 20:50
谢谢指导
8#
丿凉城 发表于 2020-4-3 21:03
卧槽 大佬! 绝了 一定要点赞
9#
Tony9193 发表于 2020-4-3 21:06
加油大佬
10#
xuxiangxi 发表于 2020-4-3 21:14
我的前段时间也中了。这个病毒,所有的EXE日期全被更改了。我就是从论坛里下载了。感觉像是用了那个wps单文件版后感染的,最后用火绒全盘杀了一遍弄好了

点评

原贴地址是什么?  详情 回复 发表于 2020-4-3 21:55
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-22 19:15

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表