Synaptics蠕虫木马分析
样本信息: 名称:Synaptics.exe MD5:D127A9E5EBB80C5315295CDEEEC05A69 简单描述: Synaptics是蠕虫木马,具有感染性。此木马运行后显示一个隐藏工具,之后复制自身至C:\ProgramData\Synaptics目录,在设置注册表自启动。之后创建两个线程。 线程一:扫描特殊目录去感染exe文 件。主要是将名为“EXEUSNX”的资源数据注入进exe文件中,之后修改文件指针至恶意代码,带正常运行exe文件原先代码。 线程二:访问URL,后续操作由于服务器没有返回没有查看到。 分析过程: 1.运行后显示界面 图1 2.查看DIE,此木马为DELDHI程序。 3.IDA查看。发现看不出什么,OD动态调试。 4.入口点 前面3个函数主要是初始化以及创建一个名为Synaptics的窗口类 第四个函数为恶意代码主函数 5.第一个功能: 检索此木马所在当前目录是否存在名为“路径+_cache_+木马名称”的文件,此文件为木马文件的隐藏工具,即图1。 如果此文件存在,则运行。不存在,创建之后再运行。 文件名称 遍历文件 没有,则创建文件 文件数据为“EXEUSNX”的资源数据 将其属性设置为系统隐藏 之后运行。 6.检测木马所在目录是否为C:\ProgramData\Synaptics,如果不是,则检查此目录是否存在,目录存在