中文版 Global
首页 > 安全资讯 > 正文

顽固木马清理专题之感染型病毒《奇怪的触控板程序》

  • 2021-04-21 14:15:29

感染型病毒是一类通过修改其他计算机程序(宿主程序),向宿主程序中插入恶意代码的计算机病毒。如果插入成功,则宿主程序在运行时便会执行被插入的恶意代码。与蠕虫病毒不同,蠕虫病毒不需要宿主程序,因为它是一个独立的程序。

感染型病毒本身除了感染其他程序的功能之外,一般也会携带一个其他类型的恶意模块,如后门或者窃密模块,而感染只是为了更好的传播自身。

随着木马技术的发展,感染型病毒也有很多不的感染方式,本文中分析的Synaptics病毒是一个感染能力极强,但是总体逻辑比较简单的病毒。后续文章中我们也会分析更多典型的感染型病毒如Ramnit和Virut等。

奇怪的触控板程序

Synaptics感染型病毒将自身的文件描述等都伪装成笔记本电脑触控板的驱动程序Synaptics Pointing Device Driver。在病毒运行后,会遍历磁盘上所有的可执行文件,并将目标文件更新到病毒资源中,将病毒文件的图标资源替换为目标文件图标,然后用病毒文件覆盖目标文件,完成感染。

在用户使用电脑的过程中,并不会有太明显的感知,因为被感染的程序在运行后,会先执行病毒代码,随机释放正常的文件进行执行。下图是被感染的7z安装程序,通过对比可以发现两者的一些不同点:

感染目标文件的代码逻辑如下:

通过ResourceHacker工具查看被感染的文件,在RCData资源中会新增一个“EXERESX”的资源,即对应正常程序:

除了感染可执行程序,还会以几乎同样的方式感染xlsx文件,感染之后的文件会包含下图中的宏代码, 主要是下载Synaptics病毒(下载链接已失效)并植入到目标机器上,感染xlsx的目的是文档类文件更容易传播到其他的计算机上。

每个感染型病毒也都会携带一些其他的恶意功能,而Synaptics则携带一个后门,与CC服务器建立连接后,通过接受后门指令执行不同的恶意功能,包括截屏,文件下载,键盘记录等等。

如何彻底清除感染型病毒?

由于感染型病毒特殊的感染机制,感染型病毒清除存在一定的挑战,处理过程中稍有不慎就可能导致程序被再次感染。建议使用360安全卫士(weishi.360.cn)并在检测到感染型病毒时启用防感染模式进行全盘查杀:

360安全卫士能查杀并修复被感染的程序,清除被感染程序体内的恶意代码,就像用手术刀切除患者体内的肿瘤一样。


360安全卫士

热点排行

用户
反馈 返回
顶部