Synaptics蠕虫木马分析
样本信息:
名称:Synaptics.exe
MD5:D127A9E5EBB80C5315295CDEEEC05A69
简单描述:
Synaptics是蠕虫木马,具有感染性。此木马运行后显示一个隐藏工具,之后复制自身至C:\ProgramData\Synaptics目录,在设置注册表自启动。之后创建两个线程。
线程一:扫描特殊目录去感染exe文 件。主要是将名为“EXEUSNX”的资源数据注入进exe文件中,之后修改文件指针至恶意代码,带正常运行exe文件原先代码。
线程二:访问URL,后续操作由于服务器没有返回没有查看到。
分析过程:
1.运行后显示界面
图1
2.查看DIE,此木马为DELDHI程序。
3.IDA查看。发现看不出什么,OD动态调试。
4.入口点
前面3个函数主要是初始化以及创建一个名为Synaptics的窗口类
第四个函数为恶意代码主函数
5.第一个功能:
检索此木马所在当前目录是否存在名为“路径+_cache_+木马名称”的文件,此文件为木马文件的隐藏工具,即图1。
如果此文件存在,则运行。不存在,创建之后再运行。
文件名称
遍历文件
没有,则创建文件
文件数据为“EXEUSNX”的资源数据
将其属性设置为系统隐藏
之后运行。
6.检测木马所在目录是否为C:\ProgramData\Synaptics,如果不是,则检查此目录是否存在,目录存在,再检查木马文件是否存在。不存在,则创建。、
判断是不是上述目录
检查目录是否存在
创建目录
检查文件是否存在,不存在复制至此目录。
7.设置注册表自启动项
8.运行C盘目录下的木马文件,退出进程。
9.如果是C盘目录下运行的,遍历几个特殊目录的文件,如文件目录,桌面目录。并判断文件后缀是不是exe。
如果是exe文件,则获取其句柄,查询其是否有名为“EXEUSNX”的资源,如果没有,则生成字符串“infected canceled -文件全路径名称”发送给窗口类记录信息。
检查目录是否存在
遍历目录
判断文件后缀
获取句柄
查询资源是否存在
没有的话记录信息
10.创建线程
线程1
线程2
线程1:感染正常EXE文件
1.睡眠1000毫秒,将自身复制到临时目录,名称为随机字符
复制自身
2.创建要感染的EXE的图标文件
3.打开图标文件,写入数据
将资源数据写入到临时目录的exe中
4.将临时目录文件代替原先正常的EXE 文件
5.删除临时目录文件
6.生成字符,记录文件感染信息
线程2:网络连接
1.睡眠60000毫米,获取临时目录
2.检查临时目录是否有以下文件
3.检测网络状态
4.进行连接 https://docs.google.com/uc?id=0BxsMXGfPIZfSVlVsOGlEVGxuZVk&export=download
5.连接成功的话会在本地创建文件,然后读取网络数据写入本地文件
6.因为服务器已经失效,为获取到有效数据,创建的什么文件查看不到。
最后将此木马会连接的IP信息记录下
118.5.49.6:1199
189.163.17.5:1199
77.4.7.92:1199
50.23.197.94:80
67.15.100.252:443
转载于:https://www.cnblogs.com/Gj-Dreamer/p/11353230.html
Synaptics蠕虫木马分析相关推荐
- 【网络安全】Xred蠕虫再分析及修复工具编写
这个病毒很老了,已经有很多前辈分析过该病毒,跟着前辈们的思路深入分析一下,并编写一个清理工具.这是我分析的第一个真实环境下的恶意样本,文中如果有不正确的地方请指正.只需要清理工具的话,直接下滑到 解决 ...
- 转载:WannaCry蠕虫详细分析
WannaCry蠕虫详细分析 背景: 2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量 ...
- [翻译]震荡波蠕虫技术分析(振荡波蠕虫技术分析)
[翻译]震荡波蠕虫技术分析(振荡波蠕虫技术分析) 本帖被 EvilOctal 从 论坛原创{ Original Paper } 移动到本区(2007-03-19) 文章翻译:冰血封情 [E.S.T] ...
- WanaCrypt0r勒索蠕虫完全分析报告
WanaCrypt0r勒索蠕虫完全分析报告 0x1 前言 360互联网安全中心近日发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击,并于5月12日国内率先发布紧急预警,外媒和多家安全 ...
- 攻打医院服务器的SamSam勒索木马分析
攻打医院服务器的SamSam勒索木马分析 近日一款名为SamSam的勒索木马在国外爆发.该木马利用医院系统的服务器漏洞实施入侵,再进行加密勒索钱财.由于医院网络信息安全水平普遍薄弱,SamSam成功感 ...
- CS -exe木马分析
CS -exe木马分析 Cobalt Strike是渗透测试工具,可以通过exe木马实现远程控制. 一:生成exe Windows Executable 生成可执行exe木马:payload分段 Wi ...
- Morto蠕虫病毒分析报告
文章目录 样本信息 病毒现场复现 分析过程 Loader部分 Payload部分 病毒查杀 样本信息 名称:cache.txt SHA1:a5f83e3baae0df2cdcf5b7e9e862705 ...
- Synaptics 蠕虫病毒解决方法
Synaptics 蠕虫病毒解决方法 C盘空间突然占满,于是我就怀疑可能是病毒的作用了.果不其然,通过TreeSizeFree.exe软件扫描C盘时发现,在ProgramData这个文件夹下,有一个名 ...
- 一个简单木马分析及接管利用
最近一段时间,感觉工作很是杂乱无章,博客也基本没时间来写,基本每月一篇,其实每写一篇也代表目前我自己的工作状态及内容.最近搞逆向这一块,找了些样本分析例子,自己也研究了一下,感觉有不少好东西,当然这些 ...
最新文章
- C语言中的指针和内存泄漏
- IIS Server is too busy 解决方法(IIS6)
- python画散点图程序-Python散点图与折线图绘制过程解析
- jsp页面定义的map
- CentOS6.5 缺少 libstdc++.so.6(GLIBCXX_3.4.15)
- 一文搞定JS中的DOM基础与进阶
- C++ Prime:范围for语句
- android 8.0应用内安装包,Android 8.0 下载安装进入【安装未知应用】页面,两步简化一步...
- input 禁用智能提示_如何在智能手机上禁用紧急警报
- 每日整理Python基础——python教程入门学习
- 诺基亚指控联想侵权;格力回应“被中国移动取消中标资格”;微软暂停更新 Edge 浏览器 | 极客头条...
- 60多年来计算机是根据什么的发展,计算机复习题98197.doc
- 惠普HP Laser 107a 打印机驱动
- k3修改服务器,金蝶k3客户端修改服务器地址
- premiere cc2014破解版|premiere cc2014绿色破解版下载
- 冰点还原无法修改计算机时间,安装冰点还原后无法更改系统时间怎么办
- 硬件知识:视频分配器、画面分割器、矩阵、延长器相关知识介绍
- 同一个图表创建双坐标轴,显示多个图例
- 论文笔记5:Noise Reduction of Hyperspectral Imagery Using Hybrid Spatial-Spectral Derivative-Domain Wavel
- python画出的图_Python 画出来六维图
热门文章
- 高级文本编辑器UltraEdit 18 Mac中文版
- Google谷歌未来如何占领“Web3高地”?
- 数据分析入门学习指南,零基础小白都能轻松看懂
- Python数据分析入门笔记6——数据清理案例练习
- java仓库管理设计报告_仓库管理系统(课程设计JSPJAVA大学设计).doc
- 小程序源码:朋友圈集赞万能截图生成器微信小程序源码下载
- Requests: 1, Fetched: 0, Skipped: 0, Processed: 0
- 软件测试之---测试设计方法
- 大型在线实时应用解决方案
- 罗杨美慧 20190905-1 每周例行报告