前言

这几天逛论坛看到有老哥不小心感染Synaptics 蠕虫病毒,原因是360安全卫士导致,就想转载分享记录下来。

提示:以下是本篇文章正文内容,下面案例可供参考

起因是,老哥U盘很多dll文件被改,多了前缀名cache_ 或者出现桌面的所有xlsx都变成用户为RPC1的xlsm,桌面锁屏无法生效(无论设置几分钟都不能自动关闭显示器) 。
是因为感染了 Synaptics 蠕虫病毒 ,这是个感染病毒,没杀干净容易复发,病毒已经被特征了,杀软可清除。但如果选择360,可能连你的源文件一起带走,建议使用火绒,或者解决方案就是,下载https://www.lanzous.com/i9kp6je
双击打开并且等待结果就行。

病毒特征
Synaptics 蠕虫病毒

文件描述、说明、名称变成了Synaptics Pointing Device Driver,简单来说就是被套了一个壳

查了下二进制信息也确实如此,一个Delphi写的壳,没有别的了

然后感染目标是

遍历当前系统桌面目录,感染桌面目录下所有能够找到的exe,因为我的文档也会设置在桌面显示,所以我的文档目录里面exe文件也会被遍历感染,
但并不会通过快捷方式感染本体,也不会感染到其他盘符。

然后运行以后,会在程序运行目录释放

最后这个程序会在上述目录下解压本体,并把本体的该路径添加到注册表启动启动项,如果装了杀毒软件,或者防火墙的话,这一步就会被拦下来了(我没装任何这类防护软件,所以中招了)
所以在管理器里面关闭这个程序后再手动删除这个文件以及注册表启动项目就能解决,这不难。但是这个程序感染的桌面文件处理起来有点麻烦,因为这玩意只有运行过一遍才会释放程序本体并隐藏,没有运行还是保持病毒套壳的原样,所以我们还是看一下病毒释放程序的过程吧。

通过查看调用堆栈发现,该程序首先使用文件名查找带有._cache前缀的程序本体在不在,不在的话从套壳的文件里释放资源文件,然后使用命令行形式调用释放后的程序本体
既然这个程序做了这么几步,那我也照着他的做法再做一遍就行了


基本上没啥难度的,接下来写一个再套一个遍历目录的方法就行了。

转自论坛大佬cdj68765的帖子记录

Synaptics 蠕虫病毒相关推荐

  1. Synaptics 蠕虫病毒解决方法

    Synaptics 蠕虫病毒解决方法 C盘空间突然占满,于是我就怀疑可能是病毒的作用了.果不其然,通过TreeSizeFree.exe软件扫描C盘时发现,在ProgramData这个文件夹下,有一个名 ...

  2. “艾妮”(ANI)蠕虫病毒

    病毒名:艾妮(别名,麦英.ANI蠕虫) 英文名:MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky 技术分析: 1.释放病毒文件到如 ...

  3. java可以编写蠕虫病毒吗,暴力蠕虫来袭!网友们直呼:惊不惊喜,意不意外,怕不怕!...

    近日,多个安全团队监测到一种名为Incaseformat的病毒,在全国多个地区出现.据了解,Incaseformat是一种蠕虫病毒,该病毒会遍布除C盘外的所有磁盘文件并进行删除,对用户造成不可挽回的损 ...

  4. WannaCry勒索比特币蠕虫病毒解决方案

    WannaCry ransomware used in widespread attacks all over the world Customer Guidance for WannaCrypt a ...

  5. 安全:incaseformat蠕虫病毒来袭,你中招了吗?

    2021年1月13日incaseformat蠕虫病毒的消息刷爆了微信朋友圈,该病毒不具备对加密文件危害,同时该病毒也并非新型的病毒,而是2014年已经出现了,病毒主要传播方式为U盘等移动存储器设备,不 ...

  6. 蠕虫病毒往往是通过进入计算机系统,2012年甘肃省三职生计算机考试题

    单选题: 1. 2. 3. 4. 5. 6. 7. 8. 9. "过时的信息没有利用价值几乎是众所周知的事实"是指信息的 . A. 传递性 B. 普遍性 C. 存储性 D. 时效性 ...

  7. 蠕虫病毒往往是通过进入计算机系统,2011年上海市高校计算机等级考试1级模拟卷题目...

    2011年上海市高校计算机等级考试(一级) 试卷(模拟卷) 所有的样张都在"C:\样张"文件夹中,考试系统中[样张]按钮可直接打开此文件夹. (注:题目中的"C:\&qu ...

  8. 【安全资讯】incaseformat蠕虫病毒大爆发!20s删除用户文件

    作者|潇冷 来源|比特网 发布时间|2021-01-21 1 月 13 日晚,360.深信服等安全公司发布了紧急预警,称监测到蠕虫病毒 incaseformat 大范围爆发,已有多家公司发生磁盘数据被 ...

  9. 杀毒奇招:用安全网关消灭蠕虫病毒(转)

    自1988年出现第一个蠕虫病毒以来,计算机蠕虫病毒以其快速.多样化的传播方式不断给网络世界带来灾害.特别是网络的迅速发展令蠕虫造成的危害日益严重,造成一个谈毒色变的的网络世界. 不同于一般的病毒,蠕虫 ...

  10. 教你怎样用安全网关消灭蠕虫病毒(转)

    自1988年出现第一个蠕虫病毒以来,计算机蠕虫病毒以其快速.多样化的传播方式不断给网络世界带来灾害.特别是网络的迅速发展令蠕虫造成的危害日益严重,造成一个谈毒色变的的网络世界. 不同于一般的病毒,蠕虫 ...

最新文章

  1. C++11中头文件thread的使用
  2. 分布式系统 缓存穿透与失效时的雪崩效应
  3. 向app store提交应用时,必须点“ready to upload binary”!
  4. FPGA是如何搭建的
  5. 算法题题目集合一,欢迎评论留言
  6. 16. 3Sum Closest 最接近的三数之和
  7. arm9260 linux编译,关于linux9260烧写软件和gdb调试器的使用
  8. java excel解析 poi_Java解析Excel之POI(一)
  9. 反射矩阵(reflection matrix)推导
  10. html table 向上滚动,决策报表的表格自动向上滚动问题
  11. Lambda表达式与委托
  12. 仿乐享微信源码分享,微信公众平台源码
  13. ArcGIS 地统计的几种空间插值的应用范围和区别
  14. 八数码问题【人工智能实验】
  15. 「课程」行为经济学-北京大学光华管理学院
  16. icom对讲机写频线定义_哈罗CQ火腿社区 - QRP and DIY - 各种写频线的资料,放上来备用吧 - Powered by phpwind...
  17. 22个常用Python包,相信你一定用的到!
  18. sql查询时添加一列为固定值
  19. 3dsMax---二维图形[描图]
  20. Z怎样写系统测试报告(A)

热门文章

  1. 领域驱动设计整理——概念架构
  2. 卡方检验python程序_Python卡方检验
  3. 澳洲计算机设计专业大学排名,澳洲设计专业大学排名TOP5
  4. SAS: PROC IMPORT简单入门介绍
  5. 【原创】《精益创业思维》分享会总结
  6. 音箱后面接口 COM 8欧 70V 100V
  7. 计算机用户名登录取消,win7系统取消登录界面显示用户名的还原办法
  8. OBS视频采集流程分析
  9. 定义通用分销渠道和通用产品组
  10. Win11任务栏不显示时间怎么办?Win11任务栏不显示时间的解决方法