聯系我們 - 廣告服務 - 聯系電話:
您的當前位置: > 關注 > > 正文

案例分享:感染Synaptics蠕蟲病毒的360安全衛士

來源:CSDN 時間:2023-03-10 15:14:11


(資料圖片)

前言

這幾天逛論壇看到有老哥不小心感染Synaptics 蠕蟲病毒,原因是360安全衛士導致,就想轉載分享記錄下來。

提示:以下是本篇文章正文內容,下面案例可供參考

起因是,老哥U盤很多dll文件被改,多了前綴名cache_ 或者出現桌面的所有xlsx都變成用戶為RPC1的xlsm,桌面鎖屏無法生效(無論設置幾分鐘都不能自動關閉顯示器) 。 是因為感染了 Synaptics 蠕蟲病毒 ,這是個感染病毒,沒殺干凈容易復發,病毒已經被特征了,殺軟可清除。但如果選擇360,可能連你的源文件一起帶走,建議使用火絨,或者解決方案就是,下載https://www.lanzous.com/i9kp6je 雙擊打開并且等待結果就行。

病毒特征Synaptics 蠕蟲病毒 文件描述、說明、名稱變成了Synaptics Pointing Device Driver,簡單來說就是被套了一個殼 查了下二進制信息也確實如此,一個Delphi寫的殼,沒有別的了

然后感染目標是 遍歷當前系統桌面目錄,感染桌面目錄下所有能夠找到的exe,因為我的文檔也會設置在桌面顯示,所以我的文檔目錄里面exe文件也會被遍歷感染, 但并不會通過快捷方式感染本體,也不會感染到其他盤符。

然后運行以后,會在程序運行目錄釋放 最后這個程序會在上述目錄下解壓本體,并把本體的該路徑添加到注冊表啟動啟動項,如果裝了殺毒軟件,或者防火墻的話,這一步就會被攔下來了(我沒裝任何這類防護軟件,所以中招了) 所以在管理器里面關閉這個程序后再手動刪除這個文件以及注冊表啟動項目就能解決,這不難。但是這個程序感染的桌面文件處理起來有點麻煩,因為這玩意只有運行過一遍才會釋放程序本體并隱藏,沒有運行還是保持病毒套殼的原樣,所以我們還是看一下病毒釋放程序的過程吧。 通過查看調用堆棧發現,該程序首先使用文件名查找帶有._cache前綴的程序本體在不在,不在的話從套殼的文件里釋放資源文件,然后使用命令行形式調用釋放后的程序本體 既然這個程序做了這么幾步,那我也照著他的做法再做一遍就行了

基本上沒啥難度的,接下來寫一個再套一個遍歷目錄的方法就行了。

責任編輯:

標簽:

相關推薦:

精彩放送:

新聞聚焦
Top 岛国精品在线