前言
Synares是去年出现的感染型病毒,当时为了弄清病毒的感染逻辑,也大致分析了一下这个病毒,最近整理文档,又发现了之前写的简短的分析报告
样本简单分析
当运行非C:\ProgramData\Synaptics\Synaptics.exe目录的病毒文件,首先查找自己的资源是否存在,(资源名EXERESX是被感染的前的源文件,如果存在EXERESX资源说明这是一个已经被感染的文件),存在后释放到当前目录并隐藏,创建进程执行释放的源文件。
样本会判断互斥体避免多开,获取一些资源信息,创建启动项,将病毒母体文件释放到C:\ProgramData\Synaptics\Synaptics.exe,文件属性设置为隐藏
获取系统版本信息,以InjUpdate为参数创建C:\ProgramData\Synaptics\Synaptics.exe目录下进程,母体进程来执行
1、 母体病毒运行逻辑:遍历电脑中的一些指定特殊目录
C:\Users\username\Documents
C:\Users\username\Desktop
C:\Users\username\Downloads
遍历指定后缀名:.exe .xlsx文件
感染步骤:
遍历来的文件A.exe(举例说明)首先判断资源EXEVSNX是否存在,是否已经被感染过,已经感染的文件将会跳过、未被感染的文件将执行感染函数infected_file_fun
感染逻辑:
首先病毒会将Synaptics.exe母体文件复制到temp目录,重命名一个随机名字的文件,然后将遍历到的要感染文件添加到随机名字母体文件名为EXERESX资源中,获取源文件要感染文件的图标资源更改随机名字母体文件图标资源,最后覆盖被感染文件完成文件感染。
感染xlsx文件,与后缀为exe感染模式一样,将病毒母体资源XLSM文件放在temp目录进行感染然后拷贝回原路径,不同的是文件格式被更改为xlsm,并会在原目录下释放名为~ c a c h e 1 文 件 , 该 文 件 也 是 病 毒 具 有 感 染 功 能 , 被 感 染 的 x l s x 文 件 被 添 加 了 宏 文 件 , 打 开 宏 被 设 置 了 密 码 无 法 查 看 , 启 动 时 原 内 容 都 会 被 清 空 , 只 有 启 动 宏 才 会 恢 复 内 容 , 但 同 时 被 释 放 到 当 前 目 录 的 病 毒 文 件 cache1文件,该文件也是病毒具有感染功能,被感染的xlsx文件被添加了宏文件,打开宏被设置了密码无法查看,启动时原内容都会被清空,只有启动宏才会恢复内容,但同时被释放到当前目录的病毒文件~ cache1文件,该文件也是病毒具有感染功能,被感染的xlsx文件被添加了宏文件,打开宏被设置了密码无法查看,启动时原内容都会被清空,只有启动宏才会恢复内容,但同时被释放到当前目录的病毒文件 cache1也会被启动,继续进行恶意行为。
病毒还会连接网络下载文件,但是网址文件已经无法获取。
hxxp://freedns.afraid.org/api/?action=getdyndns&sha=a30fa98efc092684e8d1c5cff797bcc613562978
大致分析就是这些