主要從網上下載某個應用程序時候,通過在一個下載站中進行下載程序時候,使用下載站自帶的下載器下載文件后被感染。
行動軌跡:
一是:其在C:\ProgramData\Synaptics創建原始病毒文件夾,內含“WS”子文件夾[為空]和“Synaptics.exe”文件[大小:754KB]
二是:其在C:\用戶\***\AppData\Local\Temp中,釋放文件“qk3296d7.exe”大小:753KB
病毒感染特點:
①運行第一次感染的可執行程序,並使用其感染程序圖標,其后隨着使用者運行感染程序而改變;
②可執行程序被感染后,右鍵屬性后發現“描述”內容被改變為:“Synaptics Pointing Device Driver”;
③被感染文件首次執行時會在同文件夾內新產生一個和感染文件同名且前綴為:“._cache_”的病毒文件;
④系統被感染后,對任何插入的U盤,都會被病毒搜索到,並立即采取遍歷可執行文件的方式感染。[成為新的感染源。
⑤病毒只感染可執行文件,無法感染壓縮文件。
⑥病毒首次在硬盤或U盤被觸發傳染時,硬盤燈或U盤指示燈會狂閃。
⑦注冊表中創建2個啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mydesk]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synaptics Pointing Device Driver]
處理方法:
先刪除病毒的自啟動項;
再刪除病毒本體及復制體文件及文件夾;
用殺軟全盤剿殺,並重新啟動系統,再次全盤在剿殺。
如果感染此病毒期間,電腦用過U盤,肯定已經感染。都須及時用殺毒軟件查殺及修復,否則后期會反復感染,沒有盡頭!
如果已經感染此病毒,病毒會在正常的*.exe文件后追加一段代碼,你一運行,它就會進行瘋狂復制和感染,請一定不要試 着運行,用殺毒軟件查殺及修復。
病毒危害過程:
當用戶無意打開病毒EXE可執行文件時,該病毒首先會復制自身,然后將指定目錄下的用戶EXE文件更新到剛剛復制的病毒文件的資源段中,接着復制用戶EXE文件圖標,最后替換原始的文件。整個感染過程不會破壞原始的文件功能,用戶點擊該文件后,仍然會執行原始文件的功能,用戶很難發現文件已經被感染。
無法建立新的xlsx,提示文件不存在,原因:病毒修改感染了文件,致使文件后綴改變,新后綴為xlsm(帶宏)
為確保執行的高效與隱蔽,“Synaptics“僅會感染以下三個目錄中的 EXE 與 XLSX 文件:
文檔目錄:"C:\Users\UserName\Documents"
桌面目錄:"C:\Users\UserName\Desktop"
下載目錄:"C:\Users\UserName\Downloads"
“Synaptics“感染前會先檢測目標文件中是否包含“EXEVSNX”資源,“EXEVSNX”為成功感染目標文件后標記在被感染文件中的病毒版本號,以此來判斷文件是否被感染或則是否需要更新。
對於 exe 文件,“Synaptics“首先將”病原體”文件拷貝至臨時目錄,而后將正常文件復制更新至剛剛拷貝后的病毒文件的資源段“EXERESX”中,接着復制目標文件的圖標,偽裝成正常文件,最后替換正常文件。當被感染的文件被用戶點擊后,會先將正常文件釋放出運行,“Synaptics“隨之也被再次執行。
對於 xlsx 文件,“Synaptics“讀取復制正常 xlsx 文件內容,接着與病毒文件中的資源段“XLSM”合並生成后綴名為“.xlsm”的新文件,而后替換正常文件。
Synaptics“設置定時器監聽是否有 USB 設備接入,當監測到設備接入時,立馬感染 USB 設備磁盤中的 EXE 與 XLSX 文件。
而后將自身復制至 USB 設備中,並在 USB 設備中生成 autorun.inf 文件。當用戶雙擊打開 USB 設備的磁盤時 autorun.inf 文件便會自動運行 USB 設備磁盤中的病毒文件(autorun.inf 是電腦使用中比較常見的文件之一,其作用是允許在雙擊磁盤時自動運行指定的某個文件),從而完成擴散傳播。
Synaptics“從資源“KBHKS“中釋放從鍵盤監聽功能 dll 文件,接着加載此 dll 進行鍵盤監聽。
自動郵件回傳:“Synaptics“設置定時器每 30 分鍾自動回傳受害者計算機敏感信息與鍵盤監聽數據,名信息包括:計算機名、用戶名、mac 地址。
遠控功能:除傳播外,“Synaptics“具有基礎的遠程控制功能,包括執行 CMD 命令、屏幕截圖、打印目錄、下載文件、刪除文件。
持久化:“Synaptics“將自己拷貝至 C:\ProgramData\Synaptics\Synaptics.exe,並通過寫入注冊表的方式實現自啟動。