考古Synaptics病毒：感染、远控两不误

一、程序释放流程

当被感染的程序运行时，首先会从资源节区中释放原程序本体至当前目录，释放的名称为  “._cache__AppName”。

图1. 释放原程序至当前目录

释放完成后，将文件属性修改为隐藏。SetFileAttributesW 函数第一个参数为修改文件属性的文件绝对路径，第二个参数代表多个属性值的组合，此处值为 6 时，代表文件属性是隐藏和系统文件。

文件释放完毕后，即调用 ShellExecuteEx 函数执行该文件，其中参数 runas 代表以管理员身份运行此文件，参数fMask 的值为 440，代表程序运行时若出错不展示报错信息并且由调用该函数的进程持有该句柄。

图2. 使用 ShellExecuteEx 执行原程序

目标进程被正常启动后，被感染的程序则继续执行，创建目录，例如 C:\ProgramData\Synaptics\，随后将该目录设置为隐藏。通过将被感染的程序复制到  Synaptics 目录下，将其属性设置为隐藏。

图3. 将自身复制到 ProgramDataSynaptics 目录下

图4. 修改文件属性为隐藏

随后调用 UpdateResource 函数将名为 “EXERESX” 的资源节区数据写入到“\ProgramData\Synaptics\Synaptics.exe” 文件中，此为恶意文件本体。

图5. Windows 中开启显示隐藏的文件

程序释放完毕后，即调用 ShellExecuteEx 函数执行新生成的文件，命令行参数为 InjUpdate。恶意文件本体执行后，会使用 WaitForSingleObject 函数等待被感染的程序运行结束。被感染的进程结束运行后，此程序开始感染其他可执行文件。

二、Synaptics感染过程分析

首先，病毒程序会将 Synaptics 目录下的 Synaptics.exe 移动到  UsersxxxAppDataLocalTemp 目录下，并利用随机数生成的数字加字母的字符串组合修改其名称。

而后利用 FindFirstFile、FindNext 两个函数遍历 Desktop、Downloads 和 Documents 目录下的所有文件。当匹配到后缀名为 exe 的程序时，会使用 FindResource 函数查看目标资源节区是否存在名为 “EXEVSNX” 的节区，若不存在则判定该文件没有被感染，后续将对该文件进行感染。若存在该节区，则会载入该节区的数据，并比较节区数据的前三个字节的数据，若该数据符合特征（0x106），则视为该文件已被感染，将会跳过对该文件的感染。

若不存在则视为该文件未被感染，此时会将该文件读取到内存中，随后调用 UpdateResource 函数将内存中的从文件中读取的数据插入到 UsersxxxAppDataLocalTemp 目录下的恶意文件本体中的名为 “EXERESX” 的节区中。

表1. UpdateResource 函数参数

资源节插入后，会提取原程序的 ICON 至被感染的程序目录下。

图6. 被感染的程序和提取的图标在同一目录下

 而后再次调用 UpdateResource 函数将覆写原 ICON。

表2. UpdateResource函数替换原ICON的参数

至此，ICON 替换完毕，如下图所示。

随后将被感染的程序移动至原文件路径处并将其覆盖，随后删除 Temp 目录下的文件。至此，此文件感染完成。

此外，该病毒还具有有限的远程控制功能：屏幕截图、下载文件、获取对方系统的信息等，但远控服务器已失效。