本帖最后由 Aminor_z 于 2021-6-21 00:46 编辑
如何判断自己是否感染Synaptics.exe病毒?
以下简单的分析(下文中【伪装成HMCL启动器的病毒】简写为【HMCL病毒】):
HMCL病毒被加壳了,按我现在的技术没法反编译。
HMCL病毒在首次运行时,会生成._cache_HMCL.exe文件,并将其属性设置为隐藏+受系统保护。
打开HMCL病毒,选择更新版本后,能看到最新版本的HMCL启动器,HMCL病毒目录下多出._cache_HMCL_xxxxx.exe文件(xxxxx为更新的版本号),但再次通过HMCL病毒打开时,回到老版本。
总的来说很神奇啊,玩MC的时候又碰到了Synaptics.exe病毒。
这次我把感染过程梳理了出来(上次发现的太晚了)
如何判断自己是否感染Synaptics.exe病毒?
- 打开任务管理器,查看当前运行的进程和启动项目中是否有该文件。
- C:\ProgramData\Synaptics目录为病毒释放目录之一。如果存在C:\ProgramData\Synaptics目录而目录下无Synaptics.exe,那说明杀毒软件已经帮你删掉了(有个WS文件夹依然存在)。
- C:\Users\{username}\AppData\Local\Temp目录(默认临时文件目录)下,有多个 文件名为 8位16进制数组成的 exe文件 如21197EDA.exe,这些exe文件通过反编译发现数据均相同,16进制码为4D 5A 90 00(前3位为EXE文件标识头,单独出来一个00,无意义)。
- 打开office文档(word、excel等)时会额外打开一个叫做~$cache的文件,并提示您该文件损坏(仅office)(被识别为宏病毒)
- 桌面上有一个被设为系统文件的~$cache文件,描述为Synaptics Pointing Device Driver
以下简单的分析(下文中【伪装成HMCL启动器的病毒】简写为【HMCL病毒】):
HMCL病毒被加壳了,按我现在的技术没法反编译。
- 简单加壳分析:
下面两张图中,前者为正常的HMCL启动器,后者为伪装成HMCL启动器的病毒。
HMCL病毒大部分信息缺失,引用了过多的dll库,有明显的加壳痕迹。
- 文件特征
明显文不对题的描述和过大的文件大小(正常HMCL启动器3.3.188版本大小仅为2.99MB)
HMCL病毒在首次运行时,会生成._cache_HMCL.exe文件,并将其属性设置为隐藏+受系统保护。
之后按照如下步骤(部分顺序可能不对):
- 启动表现:
- 打开._cache_HMCL.exe,这是正常的HMCL启动器。表现为用户看到正常的HMCL启动器
- 在C:\ProgramData\Synaptics目录释放Synaptics病毒
- 在系统启动项中添加上一步中释放的Synaptics病毒
- 系统启动项表现:
- 在C:\Users\{username}\AppData\Local\Temp目录(默认临时文件目录)下生成10个 {8位随机16进制数}.exe 文件
- 尝试运行上一步骤中的随机4~5个exe文件(我的情况是提示不支持16位应用程序,我是win10 x64裸奔机,有C#、java、python编译环境和运行环境)
- 奇怪的表现:
打开HMCL病毒,选择更新版本后,能看到最新版本的HMCL启动器,HMCL病毒目录下多出._cache_HMCL_xxxxx.exe文件(xxxxx为更新的版本号),但再次通过HMCL病毒打开时,回到老版本。
估摸着是HMCL病毒绑定了._cache_HMCL.exe这一文件。
- 病毒样本:这里就不给了
这病毒有点可怕
请问楼主那个分析软件是什么?我百度不到
只能说 我前面也有过病毒跟着一起下下来 真的恶心
原来真的有病毒啊,我说为什么每次从某网站下载的整合包解压出来自动删除启动器,有一次气得我删掉了杀毒软件。看来还是要小心啊,一不注意就中招
卡巴斯基简直是乱杀,SakuraFRP启动器、HMCL都被卡巴斯基误报了。
现在病毒都跑到mc来了,真是烦人
我用了十天,今天突然报毒,心累
这样的病毒都有什么危害呢?
这样的病毒都有什么危害呢?
话说这个应该没有jar版的病毒吧应该只有exe格式的
隔壁吾爱破解也有类似的案例,不过启动器是✨登录
Synaptics 蠕虫病毒感染解决方案
https://www.52pojie.cn/thread-1066827-1-1.html
(出处: 吾爱破解论坛)
Synaptics 蠕虫病毒感染解决方案
https://www.52pojie.cn/thread-1066827-1-1.html
(出处: 吾爱破解论坛)
这玩意能开游戏吗
MCBBS有你更精彩~