点击蓝字 ● 存眷我们

01

Synaptics病毒的介绍

Synaptics.exe是蠕虫木马,具有传染性,其属于蠕虫类传染性病毒。若是软件名前有 ._cache 的话,就申明你的法式已经被病毒Synaptics.exe传染了。

正题

拿到样本发现是Delphi.没怎么碰着过Delphi,无壳,那就先动态再静态看看,拉进沙箱

记一次对Synaptics病毒的逆向分析  第1张

记一次对Synaptics病毒的逆向分析  第2张

记一次对Synaptics病毒的逆向分析  第3张

对桌面所有文件做了传染

IDA翻开先字符串看看

记一次对Synaptics病毒的逆向分析  第4张

发现文件自启动,是写注册表体例,过于敏感,能够方案使命或则快速启动目次

记一次对Synaptics病毒的逆向分析  第5张

揣度是做了一系列下载操做,动态跟一下

记一次对Synaptics病毒的逆向分析  第6张

查找本身的资本能否存在,资本名EXERESX是被传染的前的源文件,若是存在EXERESX资本申明那是一个已经被传染的文件

记一次对Synaptics病毒的逆向分析  第7张

检索此木马所在当前目次能否存在名为“途径+_cache_+木马名称”的文件

记一次对Synaptics病毒的逆向分析  第8张

记一次对Synaptics病毒的逆向分析  第9张

记一次对Synaptics病毒的逆向分析  第10张

记一次对Synaptics病毒的逆向分析  第11张

传染了xlsx后缀文件会把xlsx改成xlsm

记一次对Synaptics病毒的逆向分析  第12张

记一次对Synaptics病毒的逆向分析  第13张

病毒会睡眠1000毫秒将Synaptics.exe文件复造到temp目次,重定名一个随机名字的文件,然后将遍历到的要传染文件添加到随机名字母,然后笼盖文件,传染xlsx文件,与后缀为exe传染形式一样,只要启动了就会生成一个比本来文件大的后缀为.cache的隐藏文件,固然也是不影响法式一般运行,但是大大加大了电脑的内耗,且带来没必要要的资本占用

记一次对Synaptics病毒的逆向分析  第14张

病毒会去拜候那些外连网址docs.google.com,xred.mooo.com,freedns.afraid.org

记一次对Synaptics病毒的逆向分析  第15张

病毒带有远控功用如下

记一次对Synaptics病毒的逆向分析  第16张