synaptics

样本信息： 名称：Synaptics.exe MD5：D127A9E5EBB80C5315295CDEEEC05A69 简单描述： Synaptics是蠕虫木马，具有感染性。此木马运行后显示一个隐藏工具，之后复制自身至C:\ProgramData\Synaptics目录，在设置注册表自启动。之后创建两个线程。 线程一：扫描特殊目录去感染exe文 件。主要是将名为“EXEUSNX”的资源数据注入进exe文件中，之后修改文件指针至恶意代码，带正常运行exe文件原先代码。 线程二：访问URL，后续操作由于服务器没有返回没有查看到。 分析过程： 1.运行后显示界面 图1 2.查看DIE，此木马为DELDHI程序。 3.IDA查看。发现看不出什么，OD动态调试。 4.入口点 前面3个函数主要是初始化以及创建一个名为Synaptics的窗口类 第四个函数为恶意代码主函数 5.第一个功能： 检索此木马所在当前目录是否存在名为“路径+_cache_+木马名称”的文件，此文件为木马文件的隐藏工具，即图1。 如果此文件存在，则运行。不存在，创建之后再运行。 文件名称 遍历文件 没有，则创建文件 文件数据为“EXEUSNX”的资源数据 将其属性设置为系统隐藏 之后运行。 6.检测木马所在目录是否为C:\ProgramData\Synaptics，如果不是，则检查此目录是否存在，目录存在

本人使用ThinkPad X1 Carbon超级本，由于近期安装了遨游浏览器(Maxthon)，发现其总体体验还是不错，但是在本机器上有个明显的Bug：就是小红帽的滚轮不管用。 由于就查了网上相关资料并加以试验，最终得以解决，方案如下【本人系统是windows 8.1 preview （64 bits）.】： 　　1. 首先找到TP4table.dat 文件，此文件是专门配置哪些应用程序、系统可以使用小红帽硬件功能。 　　　　TP4table.dat一般是在C:\Program Files\Synaptics\SynTP 目录。 　　2. 修改TP4table.dat文件，加上遨游浏览器（Maxthon)的对应配置信息。 　　　　由于TP4table.dat是特殊的文件，如果直接用记事本（或其他编辑文件工具）打开，系统会提示“Please check if this file is opened by another program."这个提示，无法保存。 　　　　此时我打开任务管理器，把Synaptics以及相关的所有进程都关闭掉，并重试，仍有上述提示无法保存。 　　　　最后我在想：是不是可以用管理员权限在命令行模式进行编辑。试之，果然可以，哈哈。 　　　　以管理员权限打开CMD，并进入C:\Program Files\Synaptics\SynTP目录，然后输入命令