<损坏的图像提⽰
主要从⽹上下载某个应⽤程序时候,通过在⼀个下载站中进⾏下载程序时候,使⽤下载站⾃带的下载器下载⽂件后被感染。
⾏动轨迹:
电脑变慢⼀是:其在C:\ProgramData\Synaptics创建原始病毒⽂件夹,内含“WS”⼦⽂件夹[为空]和“”⽂件[⼤⼩:754KB]
⼆是:其在C:\⽤户\***\AppData\Local\Temp中,释放⽂件“”⼤⼩:753KB
病毒感染特点:
①运⾏第⼀次感染的可执⾏程序,并使⽤其感染程序图标,其后随着使⽤者运⾏感染程序⽽改变;
②可执⾏程序被感染后,右键属性后发现“描述”内容被改变为:“Synaptics Pointing Device Driver”;
③被感染⽂件⾸次执⾏时会在同⽂件夹内新产⽣⼀个和感染⽂件同名且前缀为:“._cache_”的病毒⽂件;
④系统被感染后,对任何插⼊的U盘,都会被病毒搜索到,并⽴即采取遍历可执⾏⽂件的⽅式感染。[成为新的感染源。
⑤病毒只感染可执⾏⽂件,⽆法感染压缩⽂件。
⑥病毒⾸次在硬盘或U盘被触发传染时,硬盘灯或U盘指⽰灯会狂闪。
⑦注册表中创建2个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mydesk]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synaptics Pointing Device Driver]
处理⽅法:
先删除病毒的⾃启动项;
再删除病毒本体及复制体⽂件及⽂件夹;
⽤杀软全盘剿杀,并重新启动系统,再次全盘在剿杀。
如果感染此病毒期间,电脑⽤过U盘,肯定已经感染。都须及时⽤杀毒软件查杀及修复,否则后期会反复感染,没有尽头!
佳能数码相机说明书如果已经感染此病毒,病毒会在正常的*.exe⽂件后追加⼀段代码,你⼀运⾏,它就会进⾏疯狂复制和感染,请⼀定不要试着运⾏,⽤杀毒软件查杀及修复。
病毒危害过程:
当⽤户⽆意打开病毒EXE可执⾏⽂件时,该病毒⾸先会复制⾃⾝,然后将指定⽬录下的⽤户EXE⽂件更新到刚刚复制的病毒⽂件的资源段中,接着复制⽤户EXE⽂件图标,最后替换原始的⽂件。整个感染过程不会破坏原始的⽂件功能,⽤户点击该⽂件后,仍然会执⾏原始⽂件的功能,⽤户很难发现⽂件已经被感染。
⽆法建⽴新的xlsx,提⽰⽂件不存在,原因:病毒修改感染了⽂件,致使⽂件后缀改变,新后缀为xlsm(带宏)
为确保执⾏的⾼效与隐蔽,“Synaptics“仅会感染以下三个⽬录中的 EXE 与 XLSX ⽂件:
⽂档⽬录:"C:\Users\UserName\Documents"
桌⾯⽬录:"C:\Users\UserName\Desktop"
下载⽬录:"C:\Users\UserName\Downloads"
“Synaptics“感染前会先检测⽬标⽂件中是否包含“EXEVSNX”资源,“EXEVSNX”为成功感染⽬标⽂件后标记在被感染⽂件中的病毒版本号,以此来判断⽂件是否被感染或则是否需要更新。
对于 exe ⽂件,“Synaptics“⾸先将”病原体”⽂件拷贝⾄临时⽬录,⽽后将正常⽂件复制更新⾄刚刚拷贝后的病毒⽂件的资源
段“EXERESX”中,接着复制⽬标⽂件的图标,伪装成正常⽂件,最后替换正常⽂件。当被感染的⽂件被⽤户点击后,会先将正常⽂件释放出运⾏,“Synaptics“随之也被再次执⾏。友谊节
对于 xlsx ⽂件,“Synaptics“读取复制正常 xlsx ⽂件内容,接着与病毒⽂件中的资源段“XLSM”合并⽣成后缀名为“.xlsm”的新⽂件,⽽后替换正常⽂件。
Synaptics“设置定时器监听是否有 USB 设备接⼊,当监测到设备接⼊时,⽴马感染 USB 设备磁盘中的 EXE 与 XLSX ⽂件。
小学教师年终总结⽽后将⾃⾝复制⾄ USB 设备中,并在 USB 设备中⽣成 autorun.inf ⽂件。当⽤户双击打开 USB 设备的磁盘时 autorun.inf ⽂件便会⾃动运⾏USB 设备磁盘中的病毒⽂件(autorun.inf 是电脑使⽤中⽐较常见的⽂件之⼀,其作⽤是允许在双击磁盘时⾃动运⾏指定的某个⽂件),从⽽完成扩散传播。
Synaptics“从资源“KBHKS“中释放从键盘监听功能 dll ⽂件,接着加载此 dll 进⾏键盘监听。
土家族的传统节日⾃动邮件回传:“Synaptics“设置定时器每 30 分钟⾃动回传受害者计算机敏感信息与键盘监听数据,名信息包括:计算机名、⽤户名、mac 地址。给领导的新年贺词
远控功能:除传播外,“Synaptics“具有基础的远程控制功能,包括执⾏ CMD 命令、屏幕截图、打印⽬录、下载⽂件、删除⽂件。
持久化:“Synaptics“将⾃⼰拷贝⾄ C:\ProgramData\,并通过写⼊注册表的⽅式实现⾃启动。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论