点击蓝字 ● 存眷我们
01
Synaptics病毒的介绍
Synaptics.exe是蠕虫木马,具有传染性,其属于蠕虫类传染性病毒。若是软件名前有 ._cache 的话,就申明你的法式已经被病毒Synaptics.exe传染了。
正题
拿到样本发现是Delphi.没怎么碰着过Delphi,无壳,那就先动态再静态看看,拉进沙箱
对桌面所有文件做了传染
IDA翻开先字符串看看
发现文件自启动,是写注册表体例,过于敏感,能够方案使命或则快速启动目次
揣度是做了一系列下载操做,动态跟一下
查找本身的资本能否存在,资本名EXERESX是被传染的前的源文件,若是存在EXERESX资本申明那是一个已经被传染的文件
检索此木马所在当前目次能否存在名为“途径+_cache_+木马名称”的文件
传染了xlsx后缀文件会把xlsx改成xlsm
病毒会睡眠1000毫秒将Synaptics.exe文件复造到temp目次,重定名一个随机名字的文件,然后将遍历到的要传染文件添加到随机名字母,然后笼盖文件,传染xlsx文件,与后缀为exe传染形式一样,只要启动了就会生成一个比本来文件大的后缀为.cache的隐藏文件,固然也是不影响法式一般运行,但是大大加大了电脑的内耗,且带来没必要要的资本占用
病毒会去拜候那些外连网址docs.google.com,xred.mooo.com,freedns.afraid.org
病毒带有远控功用如下
发表评论