吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 2385|回复: 35
上一主题 下一主题

[PC样本分析] Synaptics 蠕虫病毒感染解决方案

[复制链接]
跳转到指定楼层
楼主
cdj68765 发表于 2019-12-3 00:47 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 cdj68765 于 2019-12-3 17:54 编辑

最近中了一个挺讨厌的病毒,没想到自己用电脑还挺小心的也会中这种病毒。
中了该病毒的特征如下

文件描述、说明、名称变成了Synaptics Pointing Device Driver,简单来说就是被套了一个壳

查了下二进制信息也确实如此,一个Delphi写的壳,没有别的了

然后感染目标是

遍历当前系统桌面目录,感染桌面目录下所有能够找到的exe,因为我的文档也会设置在桌面显示,所以我的文档目录里面exe文件也会被遍历感染,
但并不会通过快捷方式感染本体,也不会感染到其他盘符。

然后运行以后,会在程序运行目录释放

程序的本体,并且隐藏,还在本体程序前面增加前缀._cache,说实话,看到这里感觉还挺无语的..不过也获得一个重要的线索,就是病毒会主动释放程序本体(谁写病毒会这么写的?再差不也应该跟那些加密壳一样的做法,在内存里释放然后内存里运行么)
有了这个线索以后只要跟踪释放的函数过程就能写还原程序了

最后这个程序会在上述目录下解压本体,并把本体的该路径添加到注册表启动启动项,如果装了杀毒软件,或者防火墙的话,这一步就会被拦下来了(我没装任何这类防护软件,所以中招了)
所以在管理器里面关闭这个程序后再手动删除这个文件以及注册表启动项目就能解决,这不难。但是这个程序感染的桌面文件处理起来有点麻烦,因为这玩意只有运行过一遍才会释放程序本体并隐藏,没有运行还是保持病毒套壳的原样,所以我们还是看一下病毒释放程序的过程吧。

通过查看调用堆栈发现,该程序首先使用文件名查找带有._cache前缀的程序本体在不在,不在的话从套壳的文件里释放资源文件,然后使用命令行形式调用释放后的程序本体
既然这个程序做了这么几步,那我也照着他的做法再做一遍就行了
[C#] 纯文本查看 复制代码
                        IntPtr module = NativeMethods.LoadLibraryEx(FileAddress, IntPtr.Zero, 2);
                        var resourceInfo = NativeMethods.FindResourceEx(module, "#10", "EXERESX", 0);
                        uint resourceLength = NativeMethods.SizeofResource(module, resourceInfo);
                        IntPtr resourceData = NativeMethods.LoadResource(module, resourceInfo);
                        IntPtr resourcePtr = NativeMethods.LockResource(resourceData);
                        byte[] resourceBytes = new byte[resourceLength];
                        Marshal.Copy(resourcePtr, resourceBytes, 0, resourceBytes.Length);
                        NativeMethods.FreeLibrary(module);
                        File.WriteAllBytes(FileAddress, resourceBytes);

基本上没啥难度的,接下来写一个再套一个遍历目录的方法就行了。
解决方案就是,先在任务管理器里关闭Synaptics.exe进程(找不到该进程的话借助procexp64软件来结束该进程),然后删除C:\ProgramData\Synaptics目录及里面的Synaptics.exe文件
注册表定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,然后删除Synaptics Pointing Device Driver项
然后针对已经感染的文件,请下载本文附件,解压后(密码52pojie)双击打开并且等待结果就行。


还原感染后的exe文件.zip

7.58 KB, 下载次数: 71, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 15威望 +1 吾爱币 +19 热心值 +14 收起 理由
HXY1995 + 1 + 1 用心讨论,共获提升!
宇晨 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
menghun + 1 + 1 热心回复!
keyyan + 1 + 1 谢谢@Thanks!
13242420294 + 1 + 1 谢谢@Thanks!
逆倒尘光 + 1 + 1 用心讨论,共获提升!
turboboss + 1 热心回复!
小鬼cece + 1 + 1 谢谢@Thanks!
羽莲华 + 1 + 1 谢谢@Thanks!
dengzhengjian + 1 + 1 谢谢@Thanks!
asd42450 + 1 + 1 真棒!!! 中过好几次这病毒了
13697i + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Hmily + 1 + 7 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
xingxingzzz + 1 + 1 前几天中了一个这样的360急救箱都杀不了 百度没教程 就直接重装系统了
cgzrjl + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| cdj68765 发表于 2019-12-13 09:08 <
xmsama 发表于 2019-12-12 13:28
未经处理的异常:  System.IO.PathTooLongException: 指定的路径或文件名太长,或者两者都太长。完全限定文 ...

出现这个异常就是字面的意思,有一个文件的路径太深或者文件名太长,然后我又用的是常规删除的方法,会出现这种错误,因为是Windows系统下的命名规格错误,所以我也无能为力?
推荐
dlzc 发表于 2019-12-4 13:52
本帖最后由 dlzc 于 2019-12-4 14:08 编辑

写得好,正被它给毒到了,我先来试试。

试了下注册表和文件夹中都没找着相关的文件,但一开机就会出现SY...的错误提示,在任务中结束了也可以,但问题还是没处理好,不知是什么原因呢。
沙发
8204118 发表于 2019-12-3 01:13
3#
chx59 发表于 2019-12-3 05:09
是啊,如何解决问题才是最重要的!
4#
ysy2001 发表于 2019-12-3 08:23
还是没解决啊。
5#
yu13740000 发表于 2019-12-3 09:04
好可怕啊
6#
dutyzqly 发表于 2019-12-3 09:06
分析的很详细,感谢
7#
guangdate 发表于 2019-12-3 09:13
分析很透彻。没解决方案?
8#
li217322810 发表于 2019-12-3 09:16
中招过,后面用杀毒解决了
9#
cgzrjl 发表于 2019-12-3 09:20
看到这个标题,再点进来看到图片中的._cache_才知道我跟楼主一样中了这个病毒
10#
Deschanel 发表于 2019-12-3 09:29
感谢大佬分享,学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-12-13 11:04

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表