樣本信息:
名稱:Synaptics.exe
MD5:D127A9E5EBB80C5315295CDEEEC05A69
簡單描述:
Synaptics是蠕蟲木馬,具有感染性。此木馬運行后顯示一個隱藏工具,之后復制自身至C:\ProgramData\Synaptics目錄,在設置注冊表自啟動。之后創建兩個線程。
線程一:掃描特殊目錄去感染exe文 件。主要是將名為“EXEUSNX”的資源數據注入進exe文件中,之后修改文件指針至惡意代碼,帶正常運行exe文件原先代碼。
線程二:訪問URL,后續操作由於服務器沒有返回沒有查看到。
分析過程:
1.運行后顯示界面
圖1
2.查看DIE,此木馬為DELDHI程序。
3.IDA查看。發現看不出什么,OD動態調試。
4.入口點
前面3個函數主要是初始化以及創建一個名為Synaptics的窗口類
第四個函數為惡意代碼主函數
5.第一個功能:
檢索此木馬所在當前目錄是否存在名為“路徑+_cache_+木馬名稱”的文件,此文件為木馬文件的隱藏工具,即圖1。
如果此文件存在,則運行。不存在,創建之后再運行。
文件名稱
遍歷文件
沒有,則創建文件
文件數據為“EXEUSNX”的資源數據
將其屬性設置為系統隱藏
之后運行。
6.檢測木馬所在目錄是否為C:\ProgramData\Synaptics,如果不是,則檢查此目錄是否存在,目錄存在,再檢查木馬文件是否存在。不存在,則創建。、
判斷是不是上述目錄
檢查目錄是否存在
創建目錄
檢查文件是否存在,不存在復制至此目錄。
7.設置注冊表自啟動項
8.運行C盤目錄下的木馬文件,退出進程。
9.如果是C盤目錄下運行的,遍歷幾個特殊目錄的文件,如文件目錄,桌面目錄。並判斷文件后綴是不是exe。
如果是exe文件,則獲取其句柄,查詢其是否有名為“EXEUSNX”的資源,如果沒有,則生成字符串“infected canceled -文件全路徑名稱”發送給窗口類記錄信息。
檢查目錄是否存在
遍歷目錄
判斷文件后綴
獲取句柄
查詢資源是否存在
沒有的話記錄信息
10.創建線程
線程1
線程2
線程1:感染正常EXE文件
1.睡眠1000毫秒,將自身復制到臨時目錄,名稱為隨機字符
復制自身
2.創建要感染的EXE的圖標文件
3.打開圖標文件,寫入數據
將資源數據寫入到臨時目錄的exe中
4.將臨時目錄文件代替原先正常的EXE 文件
5.刪除臨時目錄文件
6.生成字符,記錄文件感染信息
線程2:網絡連接
1.睡眠60000毫米,獲取臨時目錄
2.檢查臨時目錄是否有以下文件
3.檢測網絡狀態
4.進行連接 https://docs.google.com/uc?id=0BxsMXGfPIZfSVlVsOGlEVGxuZVk&export=download
5.連接成功的話會在本地創建文件,然后讀取網絡數據寫入本地文件
6.因為服務器已經失效,為獲取到有效數據,創建的什么文件查看不到。
最后將此木馬會連接的IP信息記錄下
118.5.49.6:1199
189.163.17.5:1199
77.4.7.92:1199
50.23.197.94:80
67.15.100.252:443
