案例分享:感染Synaptics蠕虫病毒的360安全卫士

发布时间:   来源:CSDN  


(资料图片)

前言

这几天逛论坛看到有老哥不小心感染Synaptics 蠕虫病毒,原因是360安全卫士导致,就想转载分享记录下来。

提示:以下是本篇文章正文内容,下面案例可供参考

起因是,老哥U盘很多dll文件被改,多了前缀名cache_ 或者出现桌面的所有xlsx都变成用户为RPC1的xlsm,桌面锁屏无法生效(无论设置几分钟都不能自动关闭显示器) 。 是因为感染了 Synaptics 蠕虫病毒 ,这是个感染病毒,没杀干净容易复发,病毒已经被特征了,杀软可清除。但如果选择360,可能连你的源文件一起带走,建议使用火绒,或者解决方案就是,下载https://www.lanzous.com/i9kp6je 双击打开并且等待结果就行。

病毒特征Synaptics 蠕虫病毒 文件描述、说明、名称变成了Synaptics Pointing Device Driver,简单来说就是被套了一个壳 查了下二进制信息也确实如此,一个Delphi写的壳,没有别的了

然后感染目标是 遍历当前系统桌面目录,感染桌面目录下所有能够找到的exe,因为我的文档也会设置在桌面显示,所以我的文档目录里面exe文件也会被遍历感染, 但并不会通过快捷方式感染本体,也不会感染到其他盘符。

然后运行以后,会在程序运行目录释放 最后这个程序会在上述目录下解压本体,并把本体的该路径添加到注册表启动启动项,如果装了杀毒软件,或者防火墙的话,这一步就会被拦下来了(我没装任何这类防护软件,所以中招了) 所以在管理器里面关闭这个程序后再手动删除这个文件以及注册表启动项目就能解决,这不难。但是这个程序感染的桌面文件处理起来有点麻烦,因为这玩意只有运行过一遍才会释放程序本体并隐藏,没有运行还是保持病毒套壳的原样,所以我们还是看一下病毒释放程序的过程吧。 通过查看调用堆栈发现,该程序首先使用文件名查找带有._cache前缀的程序本体在不在,不在的话从套壳的文件里释放资源文件,然后使用命令行形式调用释放后的程序本体 既然这个程序做了这么几步,那我也照着他的做法再做一遍就行了

基本上没啥难度的,接下来写一个再套一个遍历目录的方法就行了。

相关文章Related

返回栏目>>