本帖最后由 Aminor_z 于 2020-3-16 10:39 编辑
如何判断自己是否感染该木马?
简单来说以下几点:
如果您不想看简单的过程分析,请直接看最后面
本人计算机系大学生,开发过多个小程序(与MC无关),实力还是有的,非小白。
这几天开发东西的时候,打开任务管理器发现了一个奇怪的进程:Synaptics
这是个蠕虫病毒,不过一般玩家还是能发现这个东西,因为……
谁家的MC启动器啥玩意的叫这个名字hhh
这个exe类似一个包,我们很方便地提取出的关键代码。
文件最后我们能很明显地看出是VBA程序
其他具体分析的话,可以看这个大佬的分析:
如何判断自己是否感染该木马?
- 打开任务管理器,查看当前运行的进程和启动项目中是否有该文件。
- 打开该目录C:\ProgramData\Synaptics,你会发现有该木马文件的本体。
- 如果里面没有Synaptics.exe,那说明杀毒软件已经帮你删掉了。
- 针对第3条,如果仅存在目录,那么不能100%肯定,但很有可能是被感染过的痕迹。
- 打开EXCEL表格时会额外打开一个叫做~$cache的文件,并提示您该文件损坏(WPS如此,微软办公软件没有测试过)
- 新发现该病毒会额外创建宏病毒,名称为【~$】+【你所打开文档的名字】,与各类OFFICE软件的缓存文件名相同,但无隐藏属性
简单来说以下几点:
- 建议发现这个玩意的杀毒软件全盘扫描一遍,处理。
- 该木马的运行需要VBA库支持
- 如果你的电脑没有安装Microsoft Office的办公软件,那么100%不会对您造成任何影响。
- 如果您以前安装过Microsoft Office的办公软件,现在没有,那么我也不确定。
- 如果您现在安装着Microsoft Office的办公软件并且发现了该蠕虫病毒,那么别担心,我们有高高的城墙,该木马是向谷歌的云文档发送信息,不采用特殊手段发不过去。
- 由于我是MC玩家,虽然不能确定,但我怀疑是某款被魔改的MC启动器或服务器的客户端自动更新器传播的(文件产生时间与我耍MC的时间一致,且为打开新服务器的前后,由于时间过去较久,我的电脑也是裸奔状态,一直没有发现,我印象中是有启动器和更新器,不能确定)。
- 第6条如果与事实不符,那么就当是我错误的推测。
本帖最后由 神崎长闲 于 2020-3-16 10:18 编辑
这病毒的目的是什么?“修改文件指针至恶意代码”这部分没懂
我看了https://www.freebuf.com/articles/terminal/222991.html这个文章的描述,“对正常的exe的程序替换”
也就是说不用excel的没事呗
这病毒的目的是什么?“修改文件指针至恶意代码”这部分没懂
我看了https://www.freebuf.com/articles/terminal/222991.html这个文章的描述,“对正常的exe的程序替换”
其会拦截用户新建Excel文档或者打开Excel文档的行为,并将新建或者打开的Excel文档替换成带有恶意宏代码的文档(亚信安全检测为:TROJ_FRS.0NA103BE18),恶意的宏代码主要功能是下载并执行病毒的主体文件Synaptics.exe(亚信安全检测为:Worm.Win32.OTORUN.KAT),进一步感染其他机器。
也就是说不用excel的没事呗