蠕虫病毒Synaptics.exe感染日记

        之前在网上下的一个游戏一键端,主要用于个人游玩用的,没想到不知不觉的中了如题所示的这个Synaptics蠕虫病毒。

        刚开始的2天电脑一开机后经常发现C盘爆满,连1B文件空间都不剩,甚是奇怪,但是也没意识到是什么事情,直到今天查看进程才看到有一个Synaptics的奇怪进程,顶着我所下的那个游戏的图标在运行,在全局搜索后发现隐藏在C:ProgramDataSynaptics路径下。

        后来经网上资料查找发现是一种蠕虫病毒,其原理如下:

行动轨迹:

一是:其在C:ProgramDataSynaptics创建原始病毒文件夹,内含“WS”子文件夹[为空]和“Synaptics.exe”文件[大小:754KB]

二是:其在C:用户***AppDataLocalTemp中,释放文件“qk3296d7.exe”大小:753KB

病毒感染特点:

①运行第一次感染的可执行程序,并使用其感染程序图标,其后随着使用者运行感染程序而改变;

②可执行程序被感染后,右键属性后发现“描述”内容被改变为:“Synaptics Pointing Device Driver”;

③被感染文件首次执行时会在同文件夹内新产生一个和感染文件同名且前缀为:“._cache_”的病毒文件;

④系统被感染后,对任何插入的U盘,都会被病毒搜索到,并立即采取遍历可执行文件的方式感染。[成为新的感染源。

⑤病毒只感染可执行文件,无法感染压缩文件。

⑥病毒首次在硬盘或U盘被触发传染时,硬盘灯或U盘指示灯会狂闪。

⑦注册表中创建2个启动项:

      [HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregmydesk]

   [HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregSynaptics Pointing Device Driver]

处理方法:

    先删除病毒的自启动项;

    再删除病毒本体及复制体文件及文件夹;

    用杀软全盘剿杀,并重新启动系统,再次全盘在剿杀。

    如果感染此病毒期间,电脑用过U盘,肯定已经感染。都须及时用杀毒软件查杀及修复,否则后期会反复感染,没有尽头!

    如果已经感染此病毒,病毒会在正常的*.exe文件后追加一段代码,你一运行,它就会进行疯狂复制和感染,请一定不要试        着运行,用杀毒软件查杀及修复。

病毒危害过程:

当用户无意打开病毒EXE可执行文件时,该病毒首先会复制自身,然后将指定目录下的用户EXE文件更新到刚刚复制的病毒文件的资源段中,接着复制用户EXE文件图标,最后替换原始的文件。整个感染过程不会破坏原始的文件功能,用户点击该文件后,仍然会执行原始文件的功能,用户很难发现文件已经被感染。

无法建立新的xlsx,提示文件不存在,原因:病毒修改感染了文件,致使文件后缀改变,新后缀为xlsm(带宏)

为确保执行的高效与隐蔽,“Synaptics“仅会感染以下三个目录中的 EXE 与 XLSX 文件:

文档目录:"C:UsersUserNameDocuments"

桌面目录:"C:UsersUserNameDesktop"

下载目录:"C:UsersUserNameDownloads"

“Synaptics“感染前会先检测目标文件中是否包含“EXEVSNX”资源,“EXEVSNX”为成功感染目标文件后标记在被感染文件中的病毒版本号,以此来判断文件是否被感染或则是否需要更新。

对于 exe 文件,“Synaptics“首先将”病原体”文件拷贝至临时目录,而后将正常文件复制更新至刚刚拷贝后的病毒文件的资源段“EXERESX”中,接着复制目标文件的图标,伪装成正常文件,最后替换正常文件。当被感染的文件被用户点击后,会先将正常文件释放出运行,“Synaptics“随之也被再次执行。

对于 xlsx 文件,“Synaptics“读取复制正常 xlsx 文件内容,接着与病毒文件中的资源段“XLSM”合并生成后缀名为“.xlsm”的新文件,而后替换正常文件。

Synaptics“设置定时器监听是否有 USB 设备接入,当监测到设备接入时,立马感染 USB 设备磁盘中的 EXE 与 XLSX 文件。

而后将自身复制至 USB 设备中,并在 USB 设备中生成 autorun.inf 文件。当用户双击打开 USB 设备的磁盘时 autorun.inf 文件便会自动运行 USB 设备磁盘中的病毒文件(autorun.inf 是电脑使用中比较常见的文件之一,其作用是允许在双击磁盘时自动运行指定的某个文件),从而完成扩散传播。

Synaptics“从资源“KBHKS“中释放从键盘监听功能 dll 文件,接着加载此 dll 进行键盘监听。

自动邮件回传:“Synaptics“设置定时器每 30 分钟自动回传受害者计算机敏感信息与键盘监听数据,名信息包括:计算机名、用户名、mac 地址。

远控功能:除传播外,“Synaptics“具有基础的远程控制功能,包括执行 CMD 命令、屏幕截图、打印目录、下载文件、删除文件。

持久化:“Synaptics“将自己拷贝至 C:ProgramDataSynapticsSynaptics.exe,并通过写入注册表的方式实现自启动。

------参考原文为:博客园,作者:{admin-xiaoli},原文链接:{https://www.cnblogs.com/crackerroot}

我的解决方法:使用火绒全盘绞杀,因为软件较多,使用了5个小时才扫出全部

        这个病毒确实恶心至极,影响了我的正常使用,而且它会修改注册表的权限,我本人在修改注册表权限的时候不小心把HKEY_CURRENT_CONFIG的权限给弄没了,导致这个注册表没了权限,原因是因为它注册了一个莫名的用户组用户,然后赋值给这个用户权限而已,Administrator都没有权限,而我在没有把Administrator的权限加入之前就把它这个用户的权限删除了,导致谁也没有权限进入这个注册表。

        我打算用安全模式试一下能不能把Administrator的权限给加上去,如果不行的话估计只能重装系统才能解决了,网上暂时也找不到解决办法。