设为首页收藏本站
开启辅助访问

Synaptics蠕虫病毒,善后方案

 您所在的位置:网站首页 病毒tv Synaptics蠕虫病毒,善后方案

Synaptics蠕虫病毒,善后方案

2024-07-16 07:39| 来源: 网络整理| 查看: 265

Synaptics蠕虫病毒已经多次在我周围肆虐了,因为这个破病毒我曾经差点被人网络暴力。

关于这个病毒,以下有不少资料可以参考。

https://www.52pojie.cn/thread-1066827-1-1.html

https://blog.csdn.net/skystephens/article/details/104901398

总得来说就是,这个垃圾在启动后会试图将自己持久化,然后扫描一些特殊路径下的 exe 和 xlsx 文件,将病毒代码注入其中,完成大面积的感染。

它会伪装自己,因为感染后的 exe 启动后,在干坏事的同时还会释放原本的 exe 启动之。

但是不知是病毒作者的疏忽还是有意为之,如果感染源是一个有图标的 exe 文件,被它感染的 exe 文件如果没有图标则也会带上这个图标,这个现象是非常容易引起用户警惕的。另外,它启动原本的 exe 在传参过程中可能有问题,因为一些被感染的命令行工具的行为与原本的不一致。

与新冠病毒类似,它把点数大部分都用在了传染性而非破坏性上,这也是它流传如此之广的原因。正是因为它需要伪装自己,所以它需要把原始的 exe 文件完完整整地留下来,所以我们是可以将被感染的 exe 完完整整地恢复回去的。

根据逆向大佬的分析,我们从 ResHacker 中可以看到被感染后的 exe 会把原本的 exe 保存在名为 EXERESX 的 RCDATA 中,另外会在 EXEVSNX 中存储当前的病毒版本。

病毒在感染 exe 文件时,会首先判断 EXEVSNX 是否存在,如果不存在则认为它没有被感染,那么感染它;如果 EXEVSNX 中存储的版本号较低则更新它;否则对其不做任何事。

那么我们只需要检测一个 exe 文件是否存在 EXEVSNX,如果存在则检测其 EXERESX 是否存在,如果也存在,那么把里面的二进制数据全部提取出来,就能把原来的 exe 给恢复了。

在 2020 年我中招的时候,腾讯电脑管家在处理被这种病毒感染的文件时,它会把原本的 exe 留下,360 没试过。昨天晚上我有个朋友居然也中招了,然后用管家和 360 试了,都会把被感染的文件直接干掉,所以无奈只能自己写了一个处理工具(当时没发现 52pojie 已经有人写了)。

工具是用 C++ 写的,使用了 VC-LTL 减少了依赖与体积,可以在没有 vcruntime 的 x86_64 Windows 系统中运行。

此工具有以下三种用法:

1. 恢复单个文件

命令行:synaptics-recover.exe [输出exe/xlsx路径]

如果不指定输出路径,则会在同路径产生一个以 recover_ 为前缀的输出文件。

恢复 exe 时,建议将输出路径指定为同一个路径,直接替换。

2. 扫描所有进程杀掉病毒进程,删除病毒潜伏目录,删除注册表中病毒的启动项

命令行:synaptics-recover.exe -k

需要管理员权限,如果不使用管理员权限,那么如果病毒具有管理员权限的话,则扫描不到病毒进程,也删不掉病毒目录。

3. 递归扫描一个目录中所有 exe 文件,如果发现是被感染的,则恢复之

命令行:synaptics-recover.exe 

建议使用管理员权限,如果不使用管理员权限,则扫描过程可能不完整。

如果给定的文件夹是 C 盘,则会自动先执行 -k 命令。

病毒会感染 32 位 Windows 可执行文件;如果系统安装了微软 Excel,则还会感染 xlsx 文件。

此工具提供 32 位版本,虽然也是 exe,但它是伪装成被感染的样子的,是不会被 Synaptics 病毒感染的。

此工具自身具有一定的危险性,代码是开源的,使用 MSVC 工具链编译,可以不使用 VC-LTL。

开源地址:https://github.com/SineStriker/synaptics-recover

下载链接:https://wwyy.lanzouj.com/b01fg84za 密码:fegb

这个病毒目前已经有了进化,杀毒软件并不能百分百检测到被感染的 exe 文件(我朋友全盘杀毒后执行脚本以然能发现不少漏网之鱼)。

建议使用火绒安全软件(火绒可以恢复原本的 exe)全盘扫描,清除 C:\ProgramData 中病毒的真身与注册表中相应键位(B站有视频)。

使用本工具在有管理员权限的命令提示符中依次扫描各盘符的根目录,可达到同样效果。

喂饭步骤:下载工具后,右键-属性-兼容性-以管理员身份运行此程序-确定,然后打开此电脑,从 C 盘开始把磁盘拖拽到工具图标上,等待运行结束,再拖下一个磁盘,直到扫描完。

最后说明,我不是逆向人,只是参考了别人的资料。这个工具属于纯实现(搬砖),没什么技术含量,代码已经开源。写这个专栏不是为了蹭热度,而是为将来也在这个病毒上中招的人提供一个解决方案。

等以后有空写一个图形化版本的吧。



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3