前言
Synaptics蠕虫木马,为伪装成“Synaptics触摸板驱动程序”的蠕虫病毒。
该病毒的病原体有超过2万个变种。该病毒具有很强的传播性,既可以通过带有恶意宏代码的Excel文档传播,也可以通过对正常的EXE文件进行偷梁换柱(将正常的EXE文件内容复制更新到病毒自身的资源段中)的方式进行传播,其次,该病毒会监听USB设备的接入并通过 autorun.inf文件感染USB设备。
一、样本文件信息
|
文件名 |
Geek_Uninstaller.exe |
|
MD5 |
c57f11cd7f4c8318853fd028660d2f32 |
|
SHA1 |
7b0a54991b3dbca1434ba854528f614eab62079d |
|
运行平台 |
Windows |
|
编译语言 |
Delphi |
|
文件名 |
Synaptics.exe |
|
MD5 |
3cf98f4c447931c27a1add40c6d060b4 |
|
SHA1 |
59d6ee7dc0f6419d0cb1b8c6fb11f7c24a1dd1ca |
|
运行平台 |
Windows |
|
编译语言 |
Delphi |
|
|
二、概要分析
样本在C:ProgramDataSynaptics处会存放一份恶意文件的备份供后续感染文件:
 |
被感染的文件图标会改变为样本的图标,该图标为Geek_Uninstaller.exe的图标,Geek_Uninstaller为一款卸载工具。
查看被感染的文件资源,发现会多出几份资源,EXERESX为原文件,其他资源均为样本文件中的资源。
 |
样本会添加到自启动中:
 |
三、详细分析
首先会从样本资源段EXERESX加载:
 |
使用ResourceHacker可以查看该资源段。
 |
判断当前目录是否存在._cache_xxx.exe:
如果不存在该文件,就将读取到的资源保存为当前目录的文件,文件名为上述拼接好的字符串。
 |
将文件设置为隐藏属性,并判断Windows系统版本并执行可执行文件。
 |
通过命令行来判断当前执行是否为蠕虫主体:
 |
之后会进行记录log的操作:
 |
记录各个URL、端口、timeout等:
|
确认当前运行的路径是否为C:ProgramDataSynaptics:
如果不是的话,检测这个路径是否存在,不存在则进行创建并设置该文件夹为隐藏:
复制文件到上边的文件夹下并进行隐藏:
修改注册表设置自启动:
重新运行C盘下的程序:
遍历目录,Documents目录、桌面目录、Downloads目录:
判断当前文件的后缀是否为exe:
将遍历到的exe,获取名为EXEVSNX的资源:
获取失败则进行记录:
创建线程1:
创建线程2:
将自身文件复制到temp目录下,文件名为随机:
导出想要感染的文件的图标:
创建新的图标:
取代原本正常的文件:
获取临时目录:
检测是否存在以下文件:
C:UsersadminAppDataLoacalTemp\KoDRNRNU7.exe
C:UsersadminAppDataLoacalTemp\gGvDDIj.ini
检查网络状态:
从远端获取指令,从指令就可以看出相应的操作:
 |
连接到网址:
http://xn--https-6o6hw65hw67e//docs.google.com/uc?id=0BxsMXGfPIZfSVlVsOGlEVGxuZVk&export=download*左右滑动查看更多
|
|
连接成功的话会在本地创建文件,然后读取网络数据写入本地文件:
|
|
因为服务器已经失效,为获取到有效数据,创建的什么文件查看不到。
四、小结
根据对样本的深入逆向工程分析,我们得出以下结论:
1.软件从资源段EXERESX加载数据并存储为隐藏文件._cache_xxx.exe。
2.判断当前Windows系统版本并通过命令行操作,而后记录关键网络通讯信息。
3.恶意软件检查或创建C:ProgramDataSynaptics路径,然后将自身复制到该路径并设为隐藏。
4.软件会遍历指定目录并获取.exe文件的EXEVSNX资源。
5.启动新线程,并将自身文件复制到系统临时目录并随机命名。
6.导出和创建新的图标以取代原有的目标文件图标。
7.检查临时目录中的特定文件和网络状态,并从远端服务器获取指令。
总体来说,该恶意软件具有强大的感染能力、自我复制和隐藏能力,以及执行远端指令的能力。
五、处理建议
1.终止相关进程:打开任务管理器,找到并结束名为“Synaptics Pointing Device Driver”的进程。
2.禁用自启动:在任务管理器的启动项中,将“Synaptics Pointing Device Driver”的自启动状态设置为禁止。您也可以直接前往注册表删除相关的自启动项。
3.删除恶意文件夹:删除“C:ProgramDataSynaptics”以及“C:UsersALL UsersSynaptics”这两个文件夹。
4.使用杀毒软件:大部分主流的杀毒软件都能对该蠕虫病毒进行有效查杀。这些杀毒软件的查杀方法比较特殊,它们直接删除文件中的恶意代码部分,从而达到恢复原有文件的效果。
在进行上述操作时,请确保您已将系统切换至安全模式,这可以防止恶意软件在处理过程中重新激活。另外,记得在操作之前备份重要数据,以防意外损失。
六、防范措施
1.升级维护系统:确保操作系统和所有软件都是最新版本,及时补丁和更新可以防止恶意软件利用已知漏洞进行攻击。
2.使用权威来源的软件:只从官方或者已知信誉良好的第三方网站下载软件。防止从未知来源下载带有恶意代码的"Synaptics触摸板驱动"。
3.安装并更新防病毒软件:安装一个可靠的防病毒软件,并保持其最新版本,这样可以有效防止恶意软件的攻击。"Synaptics触摸板驱动"蠕虫病毒的相关规则已被识别,可以有效查杀。
4.谨慎处理电子邮件:不要打开或下载未知来源的电子邮件附件,这是一种常见的恶意软件传播方式。
5.备份重要数据:定期备份您的重要数据,并将备份存储在安全的地方。这样,即使遭受恶意软件攻击,也能从备份中恢复数据。
6.网络安全培训:对于企业用户,提高员工的网络安全意识是非常重要的。应定期进行网络安全培训,让员工了解如何识别和防止网络威胁。
七、IOC
MD5
c57f11cd7f4c8318853fd028660d2f32
3cf98f4c447931c27a1add40c6d060b4
IP
118.5.49.6:1199
189.163.17.5:1199
77.4.7.92:1199
50.23.197.94:80
67.15.100.252:443
URL
https://docs.google[.]com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=downloadhttps://www.dropbox[.]com/s/n1w4p8gc6jzo0sg/SUpdate.ini?dl=1https://www.dropbox[.]com/s/zhp1b06imehwylq/Synaptics.rar?dl=1http://freedns.afraid[.]org/api/?action=getdyndns&sha=a30fa98efc092684e8d1c5cff797bcc613562978http://xred.site50[.]net/syn/SUpdate.inihttp://xred.site50[.]net/syn/Synaptics.rarhttp://xred.site50[.]net/syn/SSLLibrary.dll
*左右滑动查看更多
往期回顾
原文始发于微信公众号(安恒信息安全服务):九维团队-青队(处置)| 关于冒充“Synaptics触摸板驱动”蠕虫病毒分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论