标签：桌面 感染 程序 本体 蠕虫 Synaptics 病毒

前言

这几天逛论坛看到有老哥不小心感染Synaptics 蠕虫病毒，原因是360安全卫士导致，就想转载分享记录下来。

提示：以下是本篇文章正文内容，下面案例可供参考

起因是，老哥U盘很多dll文件被改，多了前缀名cache_ 或者出现桌面的所有xlsx都变成用户为RPC1的xlsm，桌面锁屏无法生效（无论设置几分钟都不能自动关闭显示器） 。
是因为感染了 Synaptics 蠕虫病毒 ，这是个感染病毒，没杀干净容易复发，病毒已经被特征了，杀软可清除。但如果选择360，可能连你的源文件一起带走，建议使用火绒，或者解决方案就是，下载https://www.lanzous.com/i9kp6je
双击打开并且等待结果就行。

病毒特征
Synaptics 蠕虫病毒

文件描述、说明、名称变成了Synaptics Pointing Device Driver，简单来说就是被套了一个壳

查了下二进制信息也确实如此，一个Delphi写的壳，没有别的了

然后感染目标是

遍历当前系统桌面目录，感染桌面目录下所有能够找到的exe，因为我的文档也会设置在桌面显示，所以我的文档目录里面exe文件也会被遍历感染，
但并不会通过快捷方式感染本体，也不会感染到其他盘符。

然后运行以后，会在程序运行目录释放

最后这个程序会在上述目录下解压本体，并把本体的该路径添加到注册表启动启动项，如果装了杀毒软件，或者防火墙的话，这一步就会被拦下来了（我没装任何这类防护软件，所以中招了）
所以在管理器里面关闭这个程序后再手动删除这个文件以及注册表启动项目就能解决，这不难。但是这个程序感染的桌面文件处理起来有点麻烦，因为这玩意只有运行过一遍才会释放程序本体并隐藏，没有运行还是保持病毒套壳的原样，所以我们还是看一下病毒释放程序的过程吧。

通过查看调用堆栈发现，该程序首先使用文件名查找带有._cache前缀的程序本体在不在，不在的话从套壳的文件里释放资源文件，然后使用命令行形式调用释放后的程序本体
既然这个程序做了这么几步，那我也照着他的做法再做一遍就行了

基本上没啥难度的，接下来写一个再套一个遍历目录的方法就行了。

标签：桌面,感染,程序,本体,蠕虫,Synaptics,病毒
来源： https://blog.csdn.net/qq_44961043/article/details/111704820

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。