Synares感染型简单分析

前言

Synares是去年出现的感染型病毒,当时为了弄清病毒的感染逻辑,也大致分析了一下这个病毒,最近整理文档,又发现了之前写的简短的分析报告

样本简单分析

当运行非C:\ProgramData\Synaptics\Synaptics.exe目录的病毒文件,首先查找自己的资源是否存在,(资源名EXERESX是被感染的前的源文件,如果存在EXERESX资源说明这是一个已经被感染的文件),存在后释放到当前目录并隐藏,创建进程执行释放的源文件。

在这里插入图片描述

在这里插入图片描述

样本会判断互斥体避免多开,获取一些资源信息,创建启动项,将病毒母体文件释放到C:\ProgramData\Synaptics\Synaptics.exe,文件属性设置为隐藏

在这里插入图片描述

获取系统版本信息,以InjUpdate为参数创建C:\ProgramData\Synaptics\Synaptics.exe目录下进程,母体进程来执行

在这里插入图片描述

1、 母体病毒运行逻辑:遍历电脑中的一些指定特殊目录

C:\Users\username\Documents
C:\Users\username\Desktop
C:\Users\username\Downloads

遍历指定后缀名:.exe .xlsx文件

在这里插入图片描述

在这里插入图片描述

感染步骤:

遍历来的文件A.exe(举例说明)首先判断资源EXEVSNX是否存在,是否已经被感染过,已经感染的文件将会跳过、未被感染的文件将执行感染函数infected_file_fun

在这里插入图片描述

在这里插入图片描述

感染逻辑:

首先病毒会将Synaptics.exe母体文件复制到temp目录,重命名一个随机名字的文件,然后将遍历到的要感染文件添加到随机名字母体文件名为EXERESX资源中,获取源文件要感染文件的图标资源更改随机名字母体文件图标资源,最后覆盖被感染文件完成文件感染。

在这里插入图片描述

在这里插入图片描述

感染xlsx文件,与后缀为exe感染模式一样,将病毒母体资源XLSM文件放在temp目录进行感染然后拷贝回原路径,不同的是文件格式被更改为xlsm,并会在原目录下释放名为~ c a c h e 1 文 件 , 该 文 件 也 是 病 毒 具 有 感 染 功 能 , 被 感 染 的 x l s x 文 件 被 添 加 了 宏 文 件 , 打 开 宏 被 设 置 了 密 码 无 法 查 看 , 启 动 时 原 内 容 都 会 被 清 空 , 只 有 启 动 宏 才 会 恢 复 内 容 , 但 同 时 被 释 放 到 当 前 目 录 的 病 毒 文 件   cache1文件,该文件也是病毒具有感染功能,被感染的xlsx文件被添加了宏文件,打开宏被设置了密码无法查看,启动时原内容都会被清空,只有启动宏才会恢复内容,但同时被释放到当前目录的病毒文件~ cache1xlsx cache1也会被启动,继续进行恶意行为。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

病毒还会连接网络下载文件,但是网址文件已经无法获取。

hxxp://freedns.afraid.org/api/?action=getdyndns&sha=a30fa98efc092684e8d1c5cff797bcc613562978

在这里插入图片描述

大致分析就是这些

©️2020 CSDN 皮肤主题: 创作都市 设计师:CSDN官方博客 返回首页