主要从网上下载某个应用程序时候，通过在一个下载站中进行下载程序时候，使用下载站自带的下载器下载文件后被感染。

行动轨迹：

一是：其在C:\ProgramData\Synaptics创建原始病毒文件夹，内含“WS”子文件夹[为空]和“Synaptics.exe”文件[大小：754KB]

二是：其在C:\用户\***\AppData\Local\Temp中，释放文件“qk3296d7.exe”大小：753KB

病毒感染特点：

①运行第一次感染的可执行程序，并使用其感染程序图标，其后随着使用者运行感染程序而改变；

②可执行程序被感染后，右键属性后发现“描述”内容被改变为：“Synaptics Pointing Device Driver”；

③被感染文件首次执行时会在同文件夹内新产生一个和感染文件同名且前缀为：“._cache_”的病毒文件；

④系统被感染后，对任何插入的U盘，都会被病毒搜索到，并立即采取遍历可执行文件的方式感染。[成为新的感染源。

⑤病毒只感染可执行文件，无法感染压缩文件。

⑥病毒首次在硬盘或U盘被触发传染时，硬盘灯或U盘指示灯会狂闪。

⑦注册表中创建2个启动项：

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mydesk]

   ［HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synaptics Pointing Device Driver]

处理方法：

    先删除病毒的自启动项；

    再删除病毒本体及复制体文件及文件夹；

    用杀软全盘剿杀，并重新启动系统，再次全盘在剿杀。

    如果感染此病毒期间，电脑用过U盘，肯定已经感染。都须及时用杀毒软件查杀及修复，否则后期会反复感染，没有尽头！

    如果已经感染此病毒，病毒会在正常的*.exe文件后追加一段代码，你一运行，它就会进行疯狂复制和感染，请一定不要试        着运行，用杀毒软件查杀及修复。

病毒危害过程：

当用户无意打开病毒EXE可执行文件时，该病毒首先会复制自身，然后将指定目录下的用户EXE文件更新到刚刚复制的病毒文件的资源段中，接着复制用户EXE文件图标，最后替换原始的文件。整个感染过程不会破坏原始的文件功能，用户点击该文件后，仍然会执行原始文件的功能，用户很难发现文件已经被感染。

无法建立新的xlsx，提示文件不存在，原因：病毒修改感染了文件，致使文件后缀改变，新后缀为xlsm（带宏）

为确保执行的高效与隐蔽，“Synaptics“仅会感染以下三个目录中的 EXE 与 XLSX 文件：

文档目录："C:\Users\UserName\Documents"

桌面目录："C:\Users\UserName\Desktop"

下载目录："C:\Users\UserName\Downloads"

“Synaptics“感染前会先检测目标文件中是否包含“EXEVSNX”资源，“EXEVSNX”为成功感染目标文件后标记在被感染文件中的病毒版本号，以此来判断文件是否被感染或则是否需要更新。

对于 exe 文件，“Synaptics“首先将”病原体”文件拷贝至临时目录，而后将正常文件复制更新至刚刚拷贝后的病毒文件的资源段“EXERESX”中，接着复制目标文件的图标，伪装成正常文件，最后替换正常文件。当被感染的文件被用户点击后，会先将正常文件释放出运行，“Synaptics“随之也被再次执行。

对于 xlsx 文件，“Synaptics“读取复制正常 xlsx 文件内容，接着与病毒文件中的资源段“XLSM”合并生成后缀名为“.xlsm”的新文件，而后替换正常文件。

Synaptics“设置定时器监听是否有 USB 设备接入，当监测到设备接入时，立马感染 USB 设备磁盘中的 EXE 与 XLSX 文件。

而后将自身复制至 USB 设备中，并在 USB 设备中生成 autorun.inf 文件。当用户双击打开 USB 设备的磁盘时 autorun.inf 文件便会自动运行 USB 设备磁盘中的病毒文件（autorun.inf 是电脑使用中比较常见的文件之一，其作用是允许在双击磁盘时自动运行指定的某个文件），从而完成扩散传播。

Synaptics“从资源“KBHKS“中释放从键盘监听功能 dll 文件，接着加载此 dll 进行键盘监听。

自动邮件回传：“Synaptics“设置定时器每 30 分钟自动回传受害者计算机敏感信息与键盘监听数据，名信息包括：计算机名、用户名、mac 地址。

远控功能：除传播外，“Synaptics“具有基础的远程控制功能，包括执行 CMD 命令、屏幕截图、打印目录、下载文件、删除文件。

持久化：“Synaptics“将自己拷贝至 C:\ProgramData\Synaptics\Synaptics.exe，并通过写入注册表的方式实现自启动。

本文来自博客园，作者：{admin-xiaoli}，转载请注明原文链接：{https://www.cnblogs.com/crackerroot}