吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 18669|回复: 159

[PC样本分析] Synaptics 蠕虫病毒感染解决方案

    [复制链接]
cdj68765 发表于 2019-12-3 00:47
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 cdj68765 于 2020-5-22 21:52 编辑

最近中了一个挺讨厌的病毒,没想到自己用电脑还挺小心的也会中这种病毒。
中了该病毒的特征如下
image.png image.png
文件描述、说明、名称变成了Synaptics Pointing Device Driver,简单来说就是被套了一个壳
image.png
查了下二进制信息也确实如此,一个Delphi写的壳,没有别的了

然后感染目标是
image.png
遍历当前系统桌面目录,感染桌面目录下所有能够找到的exe,因为我的文档也会设置在桌面显示,所以我的文档目录里面exe文件也会被遍历感染,
但并不会通过快捷方式感染本体,也不会感染到其他盘符。

然后运行以后,会在程序运行目录释放
image.png
程序的本体,并且隐藏,还在本体程序前面增加前缀._cache,说实话,看到这里感觉还挺无语的..不过也获得一个重要的线索,就是病毒会主动释放程序本体(谁写病毒会这么写的?再差不也应该跟那些加密壳一样的做法,在内存里释放然后内存里运行么)
有了这个线索以后只要跟踪释放的函数过程就能写还原程序了
image.png
最后这个程序会在上述目录下解压本体,并把本体的该路径添加到注册表启动启动项,如果装了杀毒软件,或者防火墙的话,这一步就会被拦下来了(我没装任何这类防护软件,所以中招了)
所以在管理器里面关闭这个程序后再手动删除这个文件以及注册表启动项目就能解决,这不难。但是这个程序感染的桌面文件处理起来有点麻烦,因为这玩意只有运行过一遍才会释放程序本体并隐藏,没有运行还是保持病毒套壳的原样,所以我们还是看一下病毒释放程序的过程吧。
image.png
通过查看调用堆栈发现,该程序首先使用文件名查找带有._cache前缀的程序本体在不在,不在的话从套壳的文件里释放资源文件,然后使用命令行形式调用释放后的程序本体
既然这个程序做了这么几步,那我也照着他的做法再做一遍就行了
[C#] 纯文本查看 复制代码
                        IntPtr module = NativeMethods.LoadLibraryEx(FileAddress, IntPtr.Zero, 2);
                        var resourceInfo = NativeMethods.FindResourceEx(module, "#10", "EXERESX", 0);
                        uint resourceLength = NativeMethods.SizeofResource(module, resourceInfo);
                        IntPtr resourceData = NativeMethods.LoadResource(module, resourceInfo);
                        IntPtr resourcePtr = NativeMethods.LockResource(resourceData);
                        byte[] resourceBytes = new byte[resourceLength];
                        Marshal.Copy(resourcePtr, resourceBytes, 0, resourceBytes.Length);
                        NativeMethods.FreeLibrary(module);
                        File.WriteAllBytes(FileAddress, resourceBytes);

基本上没啥难度的,接下来写一个再套一个遍历目录的方法就行了。
解决方案就是,下载https://lanzous.com/icwkxkh双击打开并且等待结果就行。
2020-05-22更新
1:增加全盘扫描
2:增加U盘扫描
3:增加第二套扫描模式,遍历文件目录扫描(速度较慢,在检测到非NTFS文件系统下才会使用)
4:使用Open XML SDK模块对被感染的Excel文件进行处理,删除病毒VBA代码,恢复成xlsx格式,被感染的xlsm文件以防万一移入回收站而不直接删除
目前已知问题,对某些exe文件会无法恢复,问题发生的原因不明,程序会自动跳过该类文件但是病毒还在要小心
对长路径名的文件无法处理,这个是Win系统的通病,我也不清楚病毒是怎么做到对长路径和长文件名的感染的

被感染的xlsm文件恢复还处于验证阶段,需要你们的测试结果


免费评分

参与人数 63威望 +1 吾爱币 +71 热心值 +60 收起 理由
新手呢1561321 + 1 + 1 我很赞同!
登徒子 + 1 已经处理,感谢您对吾爱破解论坛的支持!
Q7788250 + 1 + 1 谢谢@Thanks!
zhangtao7055 + 1 + 1 我很赞同!
MOXISU + 1 + 1 谢谢中了几个月根本不知道怎么解决,今天好不容易知道是个蠕虫病毒来52一找.
tianyulouzhu + 1 + 1 用上了
TokyoGhoul + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
ぃ夜空べ梦雨 + 1 + 1 谢谢@Thanks!
白猫i- + 1 谢谢@Thanks!
FleTime + 3 + 1 用心讨论,共获提升!
陌上人 + 1 + 1 我很赞同!
mh15664957051 + 1 + 1 感谢大佬的软件 不报毒了
墨水 + 2 + 1 感谢 已经杀完了 狗屎病毒
haiyu123 + 1 + 1 谢谢@Thanks!
lioguosheng + 1 + 1 万分感谢,弄好了卡顿和硬盘占满的问题,还清除了病毒!!谢谢大佬无私奉献.
时光1989 + 1 + 1 谢谢@Thanks!
xd07014 + 1 + 1 谢谢@Thanks!
郭采洁 + 1 + 1 呜呜万分感谢感谢感谢~~~~~
Zslks + 1 + 1 谢谢@Thanks!
首席撩妹指导师 + 1 + 1 感谢大佬
WYX89898 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
晓天信 + 1 + 1 20200410完美解决,谢谢大佬
zcmclj + 1 + 1 已解决,感谢大佬!
Xiaobai1256 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
生物未鉴定 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Shaiem + 1 + 1 2020.3.25 前来感谢,不只是exe,还有文档也恢复了,顶顶顶
liwenyuan + 1 + 1 我很赞同!
az1098 + 1 + 1 万分感谢,终于知道怎么解决了
余白 + 1 + 1 谢谢@Thanks!
yuluo997 + 1 + 1 谢谢@Thanks!
SGW1844642587 + 1 + 1 感谢啊 终于解决了
leesincool6 + 2 + 1 2020.3.13感谢大佬还好查了一下论坛 完美
blackedyou + 1 我很赞同!
18971538204 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
heweilunqq + 1 + 1 用心讨论,共获提升!
我是小明的同学 + 1 + 1 谢谢@Thanks!
misaka00251 + 1 + 1 谢谢@Thanks!
1365959675 + 1 + 1 中了几个月重装了6遍系统,没想到一个软件10秒就解决了
88119645 + 1 + 1 谢谢你啊我刚好中了这个病毒
大馍法师 + 1 + 1 终于找到能解决的大佬了
不要叫我老公了 + 2 + 1 刚解决好
Lxule + 1 + 1 困扰了好几天,终于解决了,谢谢
卿卿吾吧 + 1 + 1 终于可以好好用电脑了,谢谢大神
qq19699 + 1 + 1 - -,貌似还感染其他盘。火绒可以解决.360系统急救不行。。不干净
小喵喵的吾爱 + 1 + 1 感谢,中了这个毒找了一晚上的方法
学习吧 + 1 + 1 我很赞同!
Meetyou + 1 + 1 热心回复!
andrewqqww + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
HXY1995 + 1 + 1 用心讨论,共获提升!
宇晨 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
menghun + 1 + 1 热心回复!
keyyan + 1 + 1 谢谢@Thanks!
13242420294 + 1 + 1 谢谢@Thanks!
逆倒尘光 + 1 + 1 用心讨论,共获提升!
turboboss + 1 热心回复!
小鬼cece + 1 + 1 谢谢@Thanks!
羽莲华 + 1 + 1 谢谢@Thanks!
dengzhengjian + 1 + 1 谢谢@Thanks!
asd42450 + 1 + 1 真棒!!! 中过好几次这病毒了
13697i + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Hmily + 1 + 7 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
xingxingzzz + 1 + 1 前几天中了一个这样的360急救箱都杀不了 百度没教程 就直接重装系统了
cgzrjl + 1 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

  • · Time|主题: 321, 订阅: 83
  • · 特别特|主题: 124, 订阅: 4

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

8204118 发表于 2019-12-3 01:13
废话了半天,解决方案呢??

免费评分

参与人数 3吾爱币 -4 收起 理由
pdln -2 此为违规行为,请遵守论坛版规!
ForGot_227 -1 眼睛是个好东西,什么你有?那脑子呢?
不要叫我老公了 -1 百无一用是书生

查看全部评分

 楼主| cdj68765 发表于 2020-2-26 22:36
zqhyou 发表于 2020-2-26 21:33
大佬,我的移动硬盘exe也被感染了  这个查杀无法检测到  我重装系统后 硬盘里还有  怎么破啊

https://www.lanzous.com/i9pn15i
又改了一次程序,不过有个要求是任何盘符的格式必须是NTFS,如果是FAT32会无效

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
zqhyou + 1 + 1 感谢

查看全部评分

 楼主| cdj68765 发表于 2020-2-22 14:25
q1595883404 发表于 2020-2-22 13:32
大佬,这个只能恢复桌面的,能不能写个全盘修复的,我全盘被感染了,现在病毒已经被杀死,桌面文件也恢复了 ...

https://www.lanzous.com/i9kp6je
这是全盘搜索的,不过我奇怪的是,这个病毒明明不会全盘感染的啊,是不是哪里搞错了
紫梦伊儿 发表于 2020-4-5 15:12
cdj68765 发表于 2020-4-2 11:42
看了一下,发现是因为无法正常获取资源文件造成的,但是原因不明,暂时先用https://www.lanzous.com/i9pn ...

谢谢楼主,最好更新下主贴里的地址吧,我用主贴的好像不干净,现在试试这个好像好一些
 楼主| cdj68765 发表于 2020-3-4 15:59
1365959675 发表于 2020-3-4 15:47
我又回来了,我发现查了一下又出现这个病毒了,并没有清理干净,我试一下新发的全盘,还有这程序直接把原文 ...

你看一下桌面上有没有Excel表格,并且后缀为xlsm,如果有,发给我看一下
鏃跺厜oba 发表于 2020-4-21 16:41
我的是表格xlxs自动变成xlsm,表格内容也丢了 哎

点评

抽空更新了程序,能够恢复xlsm文件,请查看主楼试用  发表于 2020-5-22 21:56
chx59 发表于 2019-12-3 05:09
是啊,如何解决问题才是最重要的!
ysy2001 发表于 2019-12-3 08:23
还是没解决啊。
yu13740000 发表于 2019-12-3 09:04
好可怕啊
dutyzqly 发表于 2019-12-3 09:06
分析的很详细,感谢
guangdate 发表于 2019-12-3 09:13
分析很透彻。没解决方案?
li217322810 发表于 2019-12-3 09:16
中招过,后面用杀毒解决了
cgzrjl 发表于 2019-12-3 09:20
看到这个标题,再点进来看到图片中的._cache_才知道我跟楼主一样中了这个病毒
Deschanel 发表于 2019-12-3 09:29
感谢大佬分享,学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-8-13 19:56

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表