偷梁换柱:谨防“Synaptics”蠕虫病毒

  • Post author:
  • Post category:其他


“Synaptics“是一个新型蠕虫病毒,病原体“Synaptics.exe”有超过 2 万个变种。该病毒具有很强的传播性,既可以通过带有恶意宏代码的 Excel 文档传播,也可以通过对正常的EXE 文件进行偷梁换柱(将正常的 EXE 文件内容复制更新到病毒自身的资源段中)的方式进行传播,其次,该病毒会监听 USB 设备的接入并通过 autorun.inf 文件感染 USB 设备。

当用户无意打开病毒 EXE 可执行文件时,该病毒首先会复制自身,然后将指定目录下的用户 EXE 文件更新到刚刚复制的病毒文件的资源段中,接着复制用户 EXE 文件图标,最后替换原始的文件。整个个感染过程不会破坏原始的文件功能,用户点击该文件后,仍然会执行原始文件的功能,用户很难发现文件已经被感染。

详细分析 1. 文件感染

为确保执行的高效与隐蔽,“Synaptics“仅会感染以下三个目录中的 EXE 与 XLSX 文件:

文档目录:”C:\Users\UserName\Documents”

桌面目录:”C:\Users\UserName\Desktop”

下载目录:”C:\Users\UserName\Downloads”

“Synaptics“感染前会先检测目标文件中是否包含“EXEVSNX”资源,“EXEVSNX”为成功感染目标文件后标记在被感染文件中的病毒版本号,以此来判断文件是否被感染或则是否需要更新。

对于 exe 文件,“Synaptics“首先将”病原体”文件拷贝至临时目录,而后将正常文件复制更新至刚刚拷贝后的病毒文件的资源段“EXERESX”中,接着复制目标文件的图标,伪装成正常文件,最后替换正常文件。当被感染的文件被用户点击后,会先将正常文件释放出运行,“Synaptics“随之也被再次执行。

对于 xlsx 文件,“Synaptics“读取复制正常 xlsx 文件内容,接着与病毒文件中的资源段

“XLSM”合并生成后缀名为“.xlsm”的新文件,而后替换正常文件。

“XLSM”资源包含了恶意 VBA 脚本,恶意功能如下:篡改 Word 和 Excel 组件的宏设

置,启用所有宏。用打开文档时,将自动启动文档中的宏代码,而不需要用户的干预。

下载并执行 Synaptics.exe 病毒。

2. USB 监听/感染

“Synaptics“设置定时器监听是否有 USB 设备接入:

当监测到设备接入时,立马感染 USB 设备磁盘中的 EXE 与 XLSX 文件:

而后将自身复制至 USB 设备中,并在 USB 设备中生成 autorun.inf 文件。当用户双击打

开 USB 设备的磁盘时 autorun.inf 文件便会自动运行 USB 设备磁盘中的病毒文件(autorun.

inf 是电脑使用中比较常见的文件之一,其作用是允许在双击磁盘时自动运行指定的某个文

件),从而完成扩散传播:

3. 键盘监听

“Synaptics“从资源“KBHKS“中释放从键盘监听功能 dll 文件,接着加载此 dll 进行键盘监听:

4. 自动邮件回传

“Synaptics“设置定时器每 30 分钟自动回传受害者计算机敏感信息与键盘监听数据,名信息包括:计算机名、用户名、mac 地址、当前屏幕截图:

5. 远控功能

除传播外,“Synaptics“具有基础的远程控制功能,包括执行 CMD 命令、屏幕截图、打印目录、下载文件、删除文件等:

6. 持久化

“Synaptics“将自己拷贝至 C:\ProgramData\Synaptics\Synaptics.exe,并通过写入注册表的方式实现自启动:

安全建议

不要点击来源不明的邮件中附件及链接;

更新系统及应用程序补丁,关闭不必要的文件共享;

使用高强度的密码,避免使用弱口令密码,定期更换密码。