信息來源:FreeBuf
近期�,出現(xiàn)一種名叫“Synaptics觸摸板驅(qū)動程序”的新型蠕蟲病毒�����,該病毒具有很強的傳播性����,既可以通過帶有惡意宏代碼的Excel文檔傳播�,也可以通過對正常的EXE文件進行偷梁換柱(將正常的EXE文件內(nèi)容復(fù)制更新到病毒自身的資源段中)的方式傳播。
當(dāng)機器感染該病毒后���,其會攔截用戶新建Excel文檔或者打開Excel文檔的行為�,并將新建或者打開的Excel文檔替換成帶有惡意宏代碼的文檔���,惡意的宏代碼主要功能是下載并執(zhí)行病毒的主體文件Synaptics.exe��,進一步感染其他機器�����。
執(zhí)行流程
詳細分析
當(dāng)用戶在桌面上打開EXE可執(zhí)行文件時��,該病毒首先會復(fù)制自身���,然后將用戶打開的文件更新到剛剛復(fù)制的病毒文件的資源段中��,最后替換原始的文件�,這個感染過程不會破壞原始的文件功能�,用戶點擊該文件后����,仍然會執(zhí)行原始文件的功能,但實際該文件已經(jīng)被病毒文件所替換���,機器感染了病毒,由于其感染方式較為隱蔽���,所以用戶很難察覺到異常��。
病毒主體信息和偽裝的安裝過程如下所示:
宏文檔分析
該病毒主體文件的資源段內(nèi)包含此惡意的宏文檔,如下圖所示:
使用oletools工具dump此宏代碼�,主要的功能是從遠程服務(wù)器下載病毒主體文件Synaptics.exe,并將其設(shè)置成系統(tǒng)隱藏文件后執(zhí)行�。具體信息如下:
首先會在系統(tǒng)臨時目錄創(chuàng)建隨機文件,并將此XLSM資源段內(nèi)的數(shù)據(jù)復(fù)制到該文件中:
然后用臨時目錄的隨機文件替換桌面上新建的Excel文檔:
病毒感染后的效果如下:
主體Synaptics.exe病毒文件分析
該病毒為了隱蔽自身的惡意行為����,其會在同目錄下釋放保存在資源段“EXERESX”的安裝程序,然后運行�����。之后對EXE文件進行偷梁換柱的行為也是將EXE文件重新更新到這個資源段內(nèi)�����,達到傳播和偽裝的目的�����。
查找資源段“EXERESX”數(shù)據(jù):
在病毒同目錄中創(chuàng)建一個“._cache_+Synaptics.exe”文件����,用于存放該資源段內(nèi)的可執(zhí)行文件。(偽裝的安裝程序或者被感染的正常EXE文件):
然后調(diào)用ShellExecute函數(shù)執(zhí)行此文件����。如下所示:
添加注冊表自啟動項目:
正常EXE文件替換分析
首先會將病毒自身復(fù)制到臨時目錄中的隨機文件中:
然后為其創(chuàng)建一個圖標文件并寫入數(shù)據(jù):
使用UpdateResourceA函數(shù)將資源段EXERESX中的內(nèi)容更新到臨時文件的PE資源段,這樣就達到了替換和隱藏的目的���。用戶在執(zhí)行替換后的文件時(由于圖標已經(jīng)替換����,表面上很難識別)���,由于病毒總是優(yōu)先執(zhí)行其資源段EXERESX中釋放出來的文件�,所以并不影響客戶原始的EXE文件的功能:
最后將這個臨時文件更換為原始文件����,并刪除臨時文件:
整體的替換過程代碼如下所示:
正常EXE文件感染替換后的效果如下:
網(wǎng)絡(luò)請求功能分析
該病毒會創(chuàng)建線程進行網(wǎng)絡(luò)請求和郵件發(fā)送等:
判斷網(wǎng)絡(luò)狀態(tài),從遠程服務(wù)器下載文件到本地:
發(fā)送郵件相關(guān)代碼如下:
解決方案
1�、不要點擊來源不明的郵件以及附件���;
2、不要點擊來源不明的郵件中包含的鏈接����;
3���、打全系統(tǒng)及應(yīng)用程序補?���?��;
4�����、采用高強度的密碼�����,避免使用弱口令密碼����,并定期更換密碼;
5����、盡量關(guān)閉不必要的文件共享;
