点击蓝字 ● 关注我们
01
Synaptics病毒的介绍
Synaptics.exe是蠕虫木马,具有感染性,其属于蠕虫类感染性病毒。如果软件名前有 ._cache 的话,就说明你的程序已经被病毒Synaptics.exe感染了。
正题
拿到样本发现是Delphi.没怎么碰到过Delphi,无壳,那就先动态再静态看看,拉进沙箱
对桌面所有文件做了感染
IDA打开先字符串看看
发现文件自启动,是写注册表方式,过于敏感,可以计划任务或则快速启动目录
推断是做了一系列下载操作,动态跟一下
查找自己的资源是否存在,资源名EXERESX是被感染的前的源文件,如果存在EXERESX资源说明这是一个已经被感染的文件
检索此木马所在当前目录是否存在名为“路径+_cache_+木马名称”的文件
感染了xlsx后缀文件会把xlsx改成xlsm
病毒会睡眠1000毫秒将Synaptics.exe文件复制到temp目录,重命名一个随机名字的文件,然后将遍历到的要感染文件添加到随机名字母,然后覆盖文件,感染xlsx文件,与后缀为exe感染模式一样,只要启动了就会生成一个比原来文件大的后缀为.cache的隐藏文件,虽然也是不影响程序正常运行,但是大大加大了电脑的内耗,且带来不必要的资源占用
病毒会去访问这些外连网址docs.google.com,xred.mooo.com,freedns.afraid.org
病毒带有远控功能如下
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除