九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析

admin 2023年5月30日13:23:15评论152 views字数 3233阅读10分46秒阅读模式

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


前言


Synaptics蠕虫木马,为伪装成“Synaptics触摸板驱动程序”的蠕虫病毒。


该病毒的病原体有超过2万个变种。该病毒具有很强的传播性,既可以通过带有恶意宏代码的Excel文档传播,也可以通过对正常的EXE文件进行偷梁换柱(将正常的EXE文件内容复制更新到病毒自身的资源段中)的方式进行传播,其次,该病毒会监听USB设备的接入并通过 autorun.inf文件感染USB设备。


一、样本文件信息




文件名

Geek_Uninstaller.exe

MD5

c57f11cd7f4c8318853fd028660d2f32

SHA1

7b0a54991b3dbca1434ba854528f614eab62079d

运行平台

Windows

编译语言

Delphi


文件名

Synaptics.exe

MD5

3cf98f4c447931c27a1add40c6d060b4

SHA1

59d6ee7dc0f6419d0cb1b8c6fb11f7c24a1dd1ca

运行平台

Windows

编译语言

Delphi


九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


二、概要分析


样本在C:ProgramDataSynaptics处会存放一份恶意文件的备份供后续感染文件:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


被感染的文件图标会改变为样本的图标,该图标为Geek_Uninstaller.exe的图标,Geek_Uninstaller为一款卸载工具。

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


查看被感染的文件资源,发现会多出几份资源,EXERESX为原文件,其他资源均为样本文件中的资源。

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


样本会添加到自启动中:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


三、详细分析


首先会从样本资源段EXERESX加载:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


使用ResourceHacker可以查看该资源段。

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


判断当前目录是否存在._cache_xxx.exe:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


如果不存在该文件,就将读取到的资源保存为当前目录的文件,文件名为上述拼接好的字符串。

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


将文件设置为隐藏属性,并判断Windows系统版本并执行可执行文件。

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


通过命令行来判断当前执行是否为蠕虫主体:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


之后会进行记录log的操作:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析
九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


记录各个URL、端口、timeout等:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


确认当前运行的路径是否为C:ProgramDataSynaptics:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


如果不是的话,检测这个路径是否存在,不存在则进行创建并设置该文件夹为隐藏:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


复制文件到上边的文件夹下并进行隐藏:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


修改注册表设置自启动:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


重新运行C盘下的程序:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


遍历目录,Documents目录、桌面目录、Downloads目录:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


判断当前文件的后缀是否为exe:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


将遍历到的exe,获取名为EXEVSNX的资源:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


获取失败则进行记录:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


创建线程1:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


创建线程2:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


将自身文件复制到temp目录下,文件名为随机:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


导出想要感染的文件的图标:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


创建新的图标:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


取代原本正常的文件:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


获取临时目录:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


检测是否存在以下文件:

C:UsersadminAppDataLoacalTemp\KoDRNRNU7.exe

C:UsersadminAppDataLoacalTemp\gGvDDIj.ini

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


检查网络状态:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


从远端获取指令,从指令就可以看出相应的操作:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


连接到网址:

http://xn--https-6o6hw65hw67e//docs.google.com/uc?id=0BxsMXGfPIZfSVlVsOGlEVGxuZVk&export=download

*左右滑动查看更多


九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


连接成功的话会在本地创建文件,然后读取网络数据写入本地文件:

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


因为服务器已经失效,为获取到有效数据,创建的什么文件查看不到。


四、小结


根据对样本的深入逆向工程分析,我们得出以下结论:

1.软件从资源段EXERESX加载数据并存储为隐藏文件._cache_xxx.exe。

2.判断当前Windows系统版本并通过命令行操作,而后记录关键网络通讯信息。

3.恶意软件检查或创建C:ProgramDataSynaptics路径,然后将自身复制到该路径并设为隐藏。

4.软件会遍历指定目录并获取.exe文件的EXEVSNX资源。

5.启动新线程,并将自身文件复制到系统临时目录并随机命名。

6.导出和创建新的图标以取代原有的目标文件图标。

7.检查临时目录中的特定文件和网络状态,并从远端服务器获取指令。


总体来说,该恶意软件具有强大的感染能力、自我复制和隐藏能力,以及执行远端指令的能力。


五、处理建议


1.终止相关进程:打开任务管理器,找到并结束名为“Synaptics Pointing Device Driver”的进程。

2.禁用自启动:在任务管理器的启动项中,将“Synaptics Pointing Device Driver”的自启动状态设置为禁止。您也可以直接前往注册表删除相关的自启动项。

3.删除恶意文件夹:删除“C:ProgramDataSynaptics”以及“C:UsersALL UsersSynaptics”这两个文件夹。

4.使用杀毒软件:大部分主流的杀毒软件都能对该蠕虫病毒进行有效查杀。这些杀毒软件的查杀方法比较特殊,它们直接删除文件中的恶意代码部分,从而达到恢复原有文件的效果。


在进行上述操作时,请确保您已将系统切换至安全模式,这可以防止恶意软件在处理过程中重新激活。另外,记得在操作之前备份重要数据,以防意外损失。



六、防范措施


1.升级维护系统:确保操作系统和所有软件都是最新版本,及时补丁和更新可以防止恶意软件利用已知漏洞进行攻击。

2.使用权威来源的软件:只从官方或者已知信誉良好的第三方网站下载软件。防止从未知来源下载带有恶意代码的"Synaptics触摸板驱动"。

3.安装并更新防病毒软件:安装一个可靠的防病毒软件,并保持其最新版本,这样可以有效防止恶意软件的攻击。"Synaptics触摸板驱动"蠕虫病毒的相关规则已被识别,可以有效查杀。

4.谨慎处理电子邮件:不要打开或下载未知来源的电子邮件附件,这是一种常见的恶意软件传播方式。

5.备份重要数据:定期备份您的重要数据,并将备份存储在安全的地方。这样,即使遭受恶意软件攻击,也能从备份中恢复数据。

6.网络安全培训:对于企业用户,提高员工的网络安全意识是非常重要的。应定期进行网络安全培训,让员工了解如何识别和防止网络威胁。


七、IOC


MD5

c57f11cd7f4c8318853fd028660d2f32

3cf98f4c447931c27a1add40c6d060b4


IP

118.5.49.6:1199

189.163.17.5:1199

77.4.7.92:1199

50.23.197.94:80

67.15.100.252:443


URL

https://docs.google[.]com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download
https://www.dropbox[.]com/s/n1w4p8gc6jzo0sg/SUpdate.ini?dl=1
https://www.dropbox[.]com/s/zhp1b06imehwylq/Synaptics.rar?dl=1
http://freedns.afraid[.]org/api/?action=getdyndns&sha=a30fa98efc092684e8d1c5cff797bcc613562978
http://xred.site50[.]net/syn/SUpdate.ini
http://xred.site50[.]net/syn/Synaptics.rar
http://xred.site50[.]net/syn/SSLLibrary.dll

*左右滑动查看更多




往期回顾

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析


关于安恒信息安全服务团队
安恒信息安全服务团队由九维安全能力专家构成,其职责分别为:红队持续突破、橙队擅于赋能、黄队致力建设、绿队跟踪改进、青队快速处置、蓝队实时防御,紫队不断优化、暗队专注情报和研究、白队运营管理,以体系化的安全人才及技术为客户赋能。

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析

九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析

原文始发于微信公众号(安恒信息安全服务):九维团队-青队(处置)| 关于冒充“Synaptics触摸板驱动”蠕虫病毒分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月30日13:23:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   九维团队-青队(处置)| 关于冒充Synaptics触摸板驱动蠕虫病毒分析https://cn-sec.com/archives/1771743.html

发表评论

匿名网友 填写信息