吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 6420|回复: 69
上一主题 下一主题

[PC样本分析] Synaptics 蠕虫病毒感染解决方案

  [复制链接]
跳转到指定楼层
楼主
cdj68765 发表于 2019-12-3 00:47 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 cdj68765 于 2020-1-10 19:57 编辑

最近中了一个挺讨厌的病毒,没想到自己用电脑还挺小心的也会中这种病毒。
中了该病毒的特征如下

文件描述、说明、名称变成了Synaptics Pointing Device Driver,简单来说就是被套了一个壳

查了下二进制信息也确实如此,一个Delphi写的壳,没有别的了

然后感染目标是

遍历当前系统桌面目录,感染桌面目录下所有能够找到的exe,因为我的文档也会设置在桌面显示,所以我的文档目录里面exe文件也会被遍历感染,
但并不会通过快捷方式感染本体,也不会感染到其他盘符。

然后运行以后,会在程序运行目录释放

程序的本体,并且隐藏,还在本体程序前面增加前缀._cache,说实话,看到这里感觉还挺无语的..不过也获得一个重要的线索,就是病毒会主动释放程序本体(谁写病毒会这么写的?再差不也应该跟那些加密壳一样的做法,在内存里释放然后内存里运行么)
有了这个线索以后只要跟踪释放的函数过程就能写还原程序了

最后这个程序会在上述目录下解压本体,并把本体的该路径添加到注册表启动启动项,如果装了杀毒软件,或者防火墙的话,这一步就会被拦下来了(我没装任何这类防护软件,所以中招了)
所以在管理器里面关闭这个程序后再手动删除这个文件以及注册表启动项目就能解决,这不难。但是这个程序感染的桌面文件处理起来有点麻烦,因为这玩意只有运行过一遍才会释放程序本体并隐藏,没有运行还是保持病毒套壳的原样,所以我们还是看一下病毒释放程序的过程吧。

通过查看调用堆栈发现,该程序首先使用文件名查找带有._cache前缀的程序本体在不在,不在的话从套壳的文件里释放资源文件,然后使用命令行形式调用释放后的程序本体
既然这个程序做了这么几步,那我也照着他的做法再做一遍就行了
[C#] 纯文本查看 复制代码
                        IntPtr module = NativeMethods.LoadLibraryEx(FileAddress, IntPtr.Zero, 2);
                        var resourceInfo = NativeMethods.FindResourceEx(module, "#10", "EXERESX", 0);
                        uint resourceLength = NativeMethods.SizeofResource(module, resourceInfo);
                        IntPtr resourceData = NativeMethods.LoadResource(module, resourceInfo);
                        IntPtr resourcePtr = NativeMethods.LockResource(resourceData);
                        byte[] resourceBytes = new byte[resourceLength];
                        Marshal.Copy(resourcePtr, resourceBytes, 0, resourceBytes.Length);
                        NativeMethods.FreeLibrary(module);
                        File.WriteAllBytes(FileAddress, resourceBytes);

基本上没啥难度的,接下来写一个再套一个遍历目录的方法就行了。
解决方案就是,下载https://www.lanzous.com/i8f9a7e (密码52pojie)双击打开并且等待结果就行。


还原感染后的exe文件.zip

7.58 KB, 下载次数: 337, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 24威望 +1 吾爱币 +29 热心值 +23 收起 理由
大馍法师 + 1 + 1 终于找到能解决的大佬了
不要叫我老公了 + 2 + 1 刚解决好
Lxule + 1 + 1 困扰了好几天,终于解决了,谢谢
卿卿吾吧 + 1 + 1 终于可以好好用电脑了,谢谢大神
qq19699 + 1 + 1 - -,貌似还感染其他盘。火绒可以解决.360系统急救不行。。不干净
小喵喵的吾爱 + 1 + 1 感谢,中了这个毒找了一晚上的方法
学习吧 + 1 + 1 我很赞同!
Meetyou + 1 + 1 热心回复!
andrewqqww + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
HXY1995 + 1 + 1 用心讨论,共获提升!
宇晨 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
menghun + 1 + 1 热心回复!
keyyan + 1 + 1 谢谢@Thanks!
13242420294 + 1 + 1 谢谢@Thanks!
逆倒尘光 + 1 + 1 用心讨论,共获提升!
turboboss + 1 热心回复!
小鬼cece + 1 + 1 谢谢@Thanks!
羽莲华 + 1 + 1 谢谢@Thanks!
dengzhengjian + 1 + 1 谢谢@Thanks!
asd42450 + 1 + 1 真棒!!! 中过好几次这病毒了
13697i + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Hmily + 1 + 7 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
xingxingzzz + 1 + 1 前几天中了一个这样的360急救箱都杀不了 百度没教程 就直接重装系统了
cgzrjl + 1 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
8204118 发表于 2019-12-3 01:13
废话了半天,解决方案呢??

免费评分

参与人数 1吾爱币 -1 收起 理由
不要叫我老公了 -1 百无一用是书生

查看全部评分

推荐
 楼主| cdj68765 发表于 2020-1-3 09:51 <
本帖最后由 cdj68765 于 2020-1-3 10:03 编辑
qingcaihua 发表于 2020-1-3 02:35
exe文件都被隔离了用了这个文件还是没恢复,还试了一下吧中毒的拉出来也没恢复,不过把毒清掉了还是感谢楼 ...
这个病毒是会改exe文件
我昨晚写的这个程序已经自动把注册表的内容给删了,包括病毒在C盘的拷贝问题,你截图出现的这个问题就是字面意思,路径名字太长了,你尝试一下手动删除这个文件试试?或者我再改一下代码吧
https://www.lanzous.com/i8f9a7e 请下载改后的程序再试一下?我对长路径名进行了忽略处理,这样应该不会报错了。
4#
chx59 发表于 2019-12-3 05:09
5#
ysy2001 发表于 2019-12-3 08:23
还是没解决啊。
6#
yu13740000 发表于 2019-12-3 09:04
好可怕啊
7#
dutyzqly 发表于 2019-12-3 09:06
分析的很详细,感谢
8#
guangdate 发表于 2019-12-3 09:13
分析很透彻。没解决方案?
9#
li217322810 发表于 2019-12-3 09:16
中招过,后面用杀毒解决了
10#
cgzrjl 发表于 2019-12-3 09:20
看到这个标题,再点进来看到图片中的._cache_才知道我跟楼主一样中了这个病毒
11#
Deschanel 发表于 2019-12-3 09:29
感谢大佬分享,学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-2-21 18:03

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表