“Synaptics“是一个新型蠕虫病毒,病原体“Synaptics.exe”有超过 2 万个变种。该病毒具有很强的传播性,既可以通过带有恶意宏代码的 Excel 文档传播,也可以通过对正常的EXE 文件进行偷梁换柱(将正常的 EXE 文件内容复制更新到病毒自身的资源段中)的方式进行传播,其次,该病毒会监听 USB 设备的接入并通过 autorun.inf 文件感染 USB 设备。
当用户无意打开病毒 EXE 可执行文件时,该病毒首先会复制自身,然后将指定目录下的用户 EXE 文件更新到刚刚复制的病毒文件的资源段中,接着复制用户 EXE 文件图标,最后替换原始的文件。整个个感染过程不会破坏原始的文件功能,用户点击该文件后,仍然会执行原始文件的功能,用户很难发现文件已经被感染。
详细分析 1. 文件感染
为确保执行的高效与隐蔽,“Synaptics“仅会感染以下三个目录中的 EXE 与 XLSX 文件:
文档目录:”C:\Users\UserName\Documents”
桌面目录:”C:\Users\UserName\Desktop”
下载目录:”C:\Users\UserName\Downloads”
“Synaptics“感染前会先检测目标文件中是否包含“EXEVSNX”资源,“EXEVSNX”为成功感染目标文件后标记在被感染文件中的病毒版本号,以此来判断文件是否被感染或则是否需要更新。
对于 exe 文件,“Synaptics“首先将”病原体”文件拷贝至临时目录,而后将正常文件复制更新至刚刚拷贝后的病毒文件的资源段“EXERESX”中,接着复制目标文件的图标,伪装成正常文件,最后替换正常文件。当被感染的文件被用户点击后,会先将正常文件释放出运行,“Synaptics“随之也被再次执行。
对于 xlsx 文件,“Synaptics“读取复制正常 xlsx 文件内容,接着与病毒文件中的资源段
“XLSM”合并生成后缀名为“.xlsm”的新文件,而后替换正常文件。
“XLSM”资源包含了恶意 VBA 脚本,恶意功能如下:篡改 Word 和 Excel 组件的宏设
置,启用所有宏。用打开文档时,将自动启动文档中的宏代码,而不需要用户的干预。
下载并执行 Synaptics.exe 病毒。
2. USB 监听/感染
“Synaptics“设置定时器监听是否有 USB 设备接入:
当监测到设备接入时,立马感染 USB 设备磁盘中的 EXE 与 XLSX 文件:
而后将自身复制至 USB 设备中,并在 USB 设备中生成 autorun.inf 文件。当用户双击打
开 USB 设备的磁盘时 autorun.inf 文件便会自动运行 USB 设备磁盘中的病毒文件(autorun.
inf 是电脑使用中比较常见的文件之一,其作用是允许在双击磁盘时自动运行指定的某个文
件),从而完成扩散传播:
3. 键盘监听
“Synaptics“从资源“KBHKS“中释放从键盘监听功能 dll 文件,接着加载此 dll 进行键盘监听:
4. 自动邮件回传
“Synaptics“设置定时器每 30 分钟自动回传受害者计算机敏感信息与键盘监听数据,名信息包括:计算机名、用户名、mac 地址、当前屏幕截图:
5. 远控功能
除传播外,“Synaptics“具有基础的远程控制功能,包括执行 CMD 命令、屏幕截图、打印目录、下载文件、删除文件等:
6. 持久化
“Synaptics“将自己拷贝至 C:\ProgramData\Synaptics\Synaptics.exe,并通过写入注册表的方式实现自启动:
安全建议
不要点击来源不明的邮件中附件及链接;
更新系统及应用程序补丁,关闭不必要的文件共享;
使用高强度的密码,避免使用弱口令密码,定期更换密码。