欢迎光临
我们一直在努力

Synaptics 蠕虫病毒感染解决方案

最近中了一个挺讨厌的病毒,没想到自己用电脑还挺小心的也会中这种病毒。
中了该病毒的特征如下

Synaptics 蠕虫病毒感染解决方案

Synaptics 蠕虫病毒感染解决方案

文件描述、说明、名称变成了Synaptics Pointing Device Driver,简单来说就是被套了一个壳

Synaptics 蠕虫病毒感染解决方案

查了下二进制信息也确实如此,一个Delphi写的壳,没有别的了

然后感染目标是

Synaptics 蠕虫病毒感染解决方案

遍历当前系统桌面目录,感染桌面目录下所有能够找到的exe,因为我的文档也会设置在桌面显示,所以我的文档目录里面exe文件也会被遍历感染,
但并不会通过快捷方式感染本体,也不会感染到其他盘符。

然后运行以后,会在程序运行目录释放

Synaptics 蠕虫病毒感染解决方案

程序的本体,并且隐藏,还在本体程序前面增加前缀._cache,说实话,看到这里感觉还挺无语的..不过也获得一个重要的线索,就是病毒会主动释放程序本体(谁写病毒会这么写的?再差不也应该跟那些加密壳一样的做法,在内存里释放然后内存里运行么)
有了这个线索以后只要跟踪释放的函数过程就能写还原程序了

Synaptics 蠕虫病毒感染解决方案

最后这个程序会在上述目录下解压本体,并把本体的该路径添加到注册表启动启动项,如果装了杀毒软件,或者防火墙的话,这一步就会被拦下来了(我没装任何这类防护软件,所以中招了)
所以在管理器里面关闭这个程序后再手动删除这个文件以及注册表启动项目就能解决,这不难。但是这个程序感染的桌面文件处理起来有点麻烦,因为这玩意只有运行过一遍才会释放程序本体并隐藏,没有运行还是保持病毒套壳的原样,所以我们还是看一下病毒释放程序的过程吧。

Synaptics 蠕虫病毒感染解决方案

通过查看调用堆栈发现,该程序首先使用文件名查找带有._cache前缀的程序本体在不在,不在的话从套壳的文件里释放资源文件,然后使用命令行形式调用释放后的程序本体...不得不说,这种方式挺单纯的,像是刚学编程没多久的人写出来的...
既然这个程序做了这么几步,那我也照着他的做法再做一遍就行了
[C#] 纯文本查看 复制代码

 IntPtr module = NativeMethods.LoadLibraryEx(FileAddress, IntPtr.Zero, 2);
                        var resourceInfo = NativeMethods.FindResourceEx(module, "#10", "EXERESX", 0);
                        uint resourceLength = NativeMethods.SizeofResource(module, resourceInfo);
                        IntPtr resourceData = NativeMethods.LoadResource(module, resourceInfo);
                        IntPtr resourcePtr = NativeMethods.LockResource(resourceData);
                        byte[] resourceBytes = new byte[resourceLength];
                        Marshal.Copy(resourcePtr, resourceBytes, 0, resourceBytes.Length);
                        NativeMethods.FreeLibrary(module);
                        File.WriteAllBytes(FileAddress, resourceBytes);

基本上没啥难度的,接下来写一个再套一个遍历目录的方法就行了。
附件附上我写的,理论上可以处理这些被套壳后的exe,请在确认删除病毒本体后再使用,不然使用了也是会被还原的。
最终总结一下这个玩意,应该是编程新手写的,不图金钱,纯粹的搞破坏?连搞破坏都不是,像是恶心人的样子?亦或者是想炫技?不过为啥能传播开来,让我中了这玩意,也是比较神奇的事情,反正好像中招的人不多,所以都过去这么久了,还没人出来处理也是奇怪。

Synaptics 蠕虫病毒感染解决方案

EncryptSynaptics.zip

2019-12-3 00:42 上传

点击文件名下载附件

下载积分: 吾爱币 -1 CB

7.56 KB, 下载次数: 0, 下载积分: 吾爱币 -1 CB

赞(0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址