信息來源：FreeBuf

近期，出現(xiàn)一種名叫“Synaptics觸摸板驅(qū)動(dòng)程序”的新型蠕蟲病毒，該病毒具有很強(qiáng)的傳播性，既可以通過帶有惡意宏代碼的Excel文檔傳播，也可以通過對(duì)正常的EXE文件進(jìn)行偷梁換柱（將正常的EXE文件內(nèi)容復(fù)制更新到病毒自身的資源段中）的方式傳播。

當(dāng)機(jī)器感染該病毒后，其會(huì)攔截用戶新建Excel文檔或者打開Excel文檔的行為，并將新建或者打開的Excel文檔替換成帶有惡意宏代碼的文檔，惡意的宏代碼主要功能是下載并執(zhí)行病毒的主體文件Synaptics.exe，進(jìn)一步感染其他機(jī)器。

執(zhí)行流程

 

詳細(xì)分析

當(dāng)用戶在桌面上打開EXE可執(zhí)行文件時(shí)，該病毒首先會(huì)復(fù)制自身，然后將用戶打開的文件更新到剛剛復(fù)制的病毒文件的資源段中，最后替換原始的文件，這個(gè)感染過程不會(huì)破壞原始的文件功能，用戶點(diǎn)擊該文件后，仍然會(huì)執(zhí)行原始文件的功能，但實(shí)際該文件已經(jīng)被病毒文件所替換，機(jī)器感染了病毒，由于其感染方式較為隱蔽，所以用戶很難察覺到異常。

病毒主體信息和偽裝的安裝過程如下所示：

 

宏文檔分析

該病毒主體文件的資源段內(nèi)包含此惡意的宏文檔，如下圖所示：

使用oletools工具dump此宏代碼，主要的功能是從遠(yuǎn)程服務(wù)器下載病毒主體文件Synaptics.exe，并將其設(shè)置成系統(tǒng)隱藏文件后執(zhí)行。具體信息如下：

首先會(huì)在系統(tǒng)臨時(shí)目錄創(chuàng)建隨機(jī)文件，并將此XLSM資源段內(nèi)的數(shù)據(jù)復(fù)制到該文件中：

然后用臨時(shí)目錄的隨機(jī)文件替換桌面上新建的Excel文檔：

病毒感染后的效果如下：

 

主體Synaptics.exe病毒文件分析

該病毒為了隱蔽自身的惡意行為，其會(huì)在同目錄下釋放保存在資源段“EXERESX”的安裝程序，然后運(yùn)行。之后對(duì)EXE文件進(jìn)行偷梁換柱的行為也是將EXE文件重新更新到這個(gè)資源段內(nèi)，達(dá)到傳播和偽裝的目的。

查找資源段“EXERESX”數(shù)據(jù)：

在病毒同目錄中創(chuàng)建一個(gè)“._cache_+Synaptics.exe”文件，用于存放該資源段內(nèi)的可執(zhí)行文件。（偽裝的安裝程序或者被感染的正常EXE文件）：

然后調(diào)用ShellExecute函數(shù)執(zhí)行此文件。如下所示：

添加注冊(cè)表自啟動(dòng)項(xiàng)目：

 

正常EXE文件替換分析

首先會(huì)將病毒自身復(fù)制到臨時(shí)目錄中的隨機(jī)文件中：

然后為其創(chuàng)建一個(gè)圖標(biāo)文件并寫入數(shù)據(jù)：

使用UpdateResourceA函數(shù)將資源段EXERESX中的內(nèi)容更新到臨時(shí)文件的PE資源段，這樣就達(dá)到了替換和隱藏的目的。用戶在執(zhí)行替換后的文件時(shí)（由于圖標(biāo)已經(jīng)替換，表面上很難識(shí)別），由于病毒總是優(yōu)先執(zhí)行其資源段EXERESX中釋放出來的文件，所以并不影響客戶原始的EXE文件的功能：

最后將這個(gè)臨時(shí)文件更換為原始文件，并刪除臨時(shí)文件：

整體的替換過程代碼如下所示：

正常EXE文件感染替換后的效果如下：

 

網(wǎng)絡(luò)請(qǐng)求功能分析

該病毒會(huì)創(chuàng)建線程進(jìn)行網(wǎng)絡(luò)請(qǐng)求和郵件發(fā)送等：

判斷網(wǎng)絡(luò)狀態(tài)，從遠(yuǎn)程服務(wù)器下載文件到本地：

發(fā)送郵件相關(guān)代碼如下：

 

解決方案

1、不要點(diǎn)擊來源不明的郵件以及附件；

2、不要點(diǎn)擊來源不明的郵件中包含的鏈接；

3、打全系統(tǒng)及應(yīng)用程序補(bǔ)??；

4、采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼；

5、盡量關(guān)閉不必要的文件共享；