Synaptics蠕虫木马分析
样本信息:
名称:Synaptics.exe
MD5:D127A9E5EBB80C5315295CDEEEC05A69
简单描述:
Synaptics是蠕虫木马,具有感染性。此木马运行后显示一个隐藏工具,之后复制自身至C:\ProgramData\Synaptics目录,在设置注册表自启动。之后创建两个线程。
线程一:扫描特殊目录去感染exe文 件。主要是将名为“EXEUSNX”的资源数据注入进exe文件中,之后修改文件指针至恶意代码,带正常运行exe文件原先代码。
线程二:访问URL,后续操作由于服务器没有返回没有查看到。
分析过程:
1.运行后显示界面
图1
2.查看DIE,此木马为DELDHI程序。
3.IDA查看。发现看不出什么,OD动态调试。
4.入口点
前面3个函数主要是初始化以及创建一个名为Synaptics的窗口类
第四个函数为恶意代码主函数
5.第一个功能:
检索此木马所在当前目录是否存在名为“路径+_cache_+木马名称”的文件,此文件为木马文件的隐藏工具,即图1。
如果此文件存在,则运行。不存在,创建之后再运行。
文件名称
遍历文件
没有,则创建文件
文件数据为“EXEUSNX”的资源数据
将其属性设置为系统隐藏
之后运行。
6.检测木马所在目录是否为C:\ProgramData\Synaptics,如果不是,则检查此目录是否存在,目录存在,再检查木马文件是否存在。不存在,则创建。、
判断是不是上述目录
检查目录是否存在
创建目录
检查文件是否存在,不存在复制至此目录。
7.设置注册表自启动项
8.运行C盘目录下的木马文件,退出进程。
9.如果是C盘目录下运行的,遍历几个特殊目录的文件,如文件目录,桌面目录。并判断文件后缀是不是exe。
如果是exe文件,则获取其句柄,查询其是否有名为“EXEUSNX”的资源,如果没有,则生成字符串“infected canceled -文件全路径名称”发送给窗口类记录信息。
检查目录是否存在
遍历目录
判断文件后缀
获取句柄
查询资源是否存在
没有的话记录信息
10.创建线程
线程1
线程2
线程1:感染正常EXE文件
1.睡眠1000毫秒,将自身复制到临时目录,名称为随机字符
复制自身
2.创建要感染的EXE的图标文件
3.打开图标文件,写入数据
将资源数据写入到临时目录的exe中
4.将临时目录文件代替原先正常的EXE 文件
5.删除临时目录文件
6.生成字符,记录文件感染信息
线程2:网络连接
1.睡眠60000毫米,获取临时目录
2.检查临时目录是否有以下文件
3.检测网络状态
4.进行连接 https://docs.google.com/uc?id=0BxsMXGfPIZfSVlVsOGlEVGxuZVk&export=download
5.连接成功的话会在本地创建文件,然后读取网络数据写入本地文件
6.因为服务器已经失效,为获取到有效数据,创建的什么文件查看不到。
最后将此木马会连接的IP信息记录下
118.5.49.6:1199
189.163.17.5:1199
77.4.7.92:1199
50.23.197.94:80
67.15.100.252:443