Synaptics Pointing蠕虫木马防中招和提取无木马文件分析
Synaptics Pointing蠕虫木马防中招和提取无木马文件分析《Synaptics Pointing Device Driver》
Synaptics是一个蠕虫木马,具有感染性。木马运行后显示一个隐藏工具,会复制自身至C:\ProgramData\Synaptics目录,在设置注册表自启动。之后创建两个线程。
相信很多小伙伴都中招了,我尝试过用QQ管家和QQ管家急救箱,360急救箱,全盘或者强力模式都对已经感染的文件不能查杀和修复,结果都是无果。
下面我教下大家如何对已经被捆绑了Synaptics蠕虫木马的软件去除和提取 并如何查自己哪些常用软件是中了此木马。
查哪些软件中了此木马比较简单,右键对软件属性,即可看到描述是Synaptics Pointing Device Driver,详细信息也是此描述,基本就是被捆绑了这个木马。
拖进OD看看 我这个是一个易语言编译的无壳程序,懂点OD的应该也发现,易语言的OEP并不是这样,被捆绑了木马的OEP变成了这样,并下面有Synaptics的字符串,
已经确实这个软件已经被感染了,下面演示,怎么不运行,把没中木马的文件提取出来,方法比较简单,把中了这个蠕虫木马软件载入到OD里,
用论坛发的PE提取工具提取一下即可。如果之前电脑已经运行过这个蠕虫木马的程序,打开任务管理器,会有一个进程《Synaptics.exe》先结束掉此进程,
然后删除C:\ProgramData\Synaptics目录即可,目录是隐藏的,请打开系统的显示文件隐藏功能,然后你打开没有被捆绑Synaptics木马的软件,
就不会被感染了,如果不清除,您的电脑里的软件只要打开一次都会被感染。这里我打开一下被感染的,然后去运行以下没有被感染的看看,没有被感染,
另外其实被感染的软件打开后他会释放原来的没被感染的文件,._cache_XXXX开头的释放原来的没被感染的文件,就是只是被隐藏了起来,
这里剩下的就自己去研究下吧,感谢观看。
**** Hidden Message *****
谢谢分享 6666666666666666666666666666666 6666666666666666666666666666666 看看 gxfx 祝资源共享吧越来越火! 木马防中招和提取无木马文件分析 [修
页:
[1]