记一次对Synaptics病毒的逆向分析

点击蓝字 ● 关注我们

01

Synaptics病毒的介绍

Synaptics.exe是蠕虫木马，具有感染性，其属于蠕虫类感染性病毒。如果软件名前有 ._cache 的话，就说明你的程序已经被病毒Synaptics.exe感染了。

正题

拿到样本发现是Delphi.没怎么碰到过Delphi，无壳，那就先动态再静态看看，拉进沙箱

对桌面所有文件做了感染

IDA打开先字符串看看

发现文件自启动，是写注册表方式，过于敏感，可以计划任务或则快速启动目录

推断是做了一系列下载操作，动态跟一下

查找自己的资源是否存在，资源名EXERESX是被感染的前的源文件，如果存在EXERESX资源说明这是一个已经被感染的文件

检索此木马所在当前目录是否存在名为“路径+_cache_+木马名称”的文件

感染了xlsx后缀文件会把xlsx改成xlsm

病毒会睡眠1000毫秒将Synaptics.exe文件复制到temp目录，重命名一个随机名字的文件，然后将遍历到的要感染文件添加到随机名字母，然后覆盖文件，感染xlsx文件，与后缀为exe感染模式一样，只要启动了就会生成一个比原来文件大的后缀为.cache的隐藏文件，虽然也是不影响程序正常运行，但是大大加大了电脑的内耗，且带来不必要的资源占用

病毒会去访问这些外连网址docs.google.com，xred.mooo.com，freedns.afraid.org

病毒带有远控功能如下