Synaptics蠕虫木马分析

 

 

 

 

 

 

样本信息:

名称:Synaptics.exe

MD5:D127A9E5EBB80C5315295CDEEEC05A69

简单描述:

Synaptics是蠕虫木马,具有感染性。此木马运行后显示一个隐藏工具,之后复制自身至C:\ProgramData\Synaptics目录,在设置注册表自启动。之后创建两个线程。

线程一:扫描特殊目录去感染exe文 件。主要是将名为“EXEUSNX”的资源数据注入进exe文件中,之后修改文件指针至恶意代码,带正常运行exe文件原先代码。

线程二:访问URL,后续操作由于服务器没有返回没有查看到。

分析过程:

1.运行后显示界面

       图1

2.查看DIE,此木马为DELDHI程序。

3.IDA查看。发现看不出什么,OD动态调试。

4.入口点

前面3个函数主要是初始化以及创建一个名为Synaptics的窗口类

第四个函数为恶意代码主函数

5.第一个功能:

检索此木马所在当前目录是否存在名为“路径+_cache_+木马名称”的文件,此文件为木马文件的隐藏工具,即图1。

如果此文件存在,则运行。不存在,创建之后再运行。

  文件名称

  遍历文件

没有,则创建文件

文件数据为“EXEUSNX”的资源数据

将其属性设置为系统隐藏

之后运行。

 

6.检测木马所在目录是否为C:\ProgramData\Synaptics,如果不是,则检查此目录是否存在,目录存在,再检查木马文件是否存在。不存在,则创建。、 

判断是不是上述目录

检查目录是否存在

创建目录

检查文件是否存在,不存在复制至此目录。

7.设置注册表自启动项

8.运行C盘目录下的木马文件,退出进程。

9.如果是C盘目录下运行的,遍历几个特殊目录的文件,如文件目录,桌面目录。并判断文件后缀是不是exe。

 如果是exe文件,则获取其句柄,查询其是否有名为“EXEUSNX”的资源,如果没有,则生成字符串“infected canceled -文件全路径名称”发送给窗口类记录信息。

检查目录是否存在

遍历目录

判断文件后缀

获取句柄

查询资源是否存在

没有的话记录信息

10.创建线程

线程1

线程2

 

 

线程1:感染正常EXE文件

1.睡眠1000毫秒,将自身复制到临时目录,名称为随机字符

   复制自身

2.创建要感染的EXE的图标文件

3.打开图标文件,写入数据

 将资源数据写入到临时目录的exe中

4.将临时目录文件代替原先正常的EXE 文件

5.删除临时目录文件

6.生成字符,记录文件感染信息

 

 

 

 

线程2:网络连接

1.睡眠60000毫米,获取临时目录

2.检查临时目录是否有以下文件

3.检测网络状态

4.进行连接       https://docs.google.com/uc?id=0BxsMXGfPIZfSVlVsOGlEVGxuZVk&export=download

 

 

5.连接成功的话会在本地创建文件,然后读取网络数据写入本地文件

 

6.因为服务器已经失效,为获取到有效数据,创建的什么文件查看不到。

 

 

最后将此木马会连接的IP信息记录下

118.5.49.6:1199

189.163.17.5:1199

77.4.7.92:1199

50.23.197.94:80

67.15.100.252:443

 

posted @ 2019-08-14 17:08  努力再努力X  阅读(10635)  评论(0编辑  收藏  举报