电脑触控板程序Synaptics感染型病毒不需要宿主程序?_病毒安全_
传染性病毒是一种计算机病毒,它通过修改其他计算机程序(主机程序)将恶意代码插入到主机程序中。如果插入成功,则主机程序将在运行时执行插入的恶意代码。与蠕虫不同,蠕虫不需要主机程序,因为它是独立程序。
除了感染其他程序的功能外,传染性病毒本身通常还携带其他类型的恶意模块,例如后门或窃取模块,这种感染只是为了更好地传播自身。
随着木马技术的发展,传染性病毒也有许多不同的感染方法。本文分析的Synaptics病毒是一种具有强大感染能力但总体逻辑相对简单的病毒。在随后的文章中,我们还将分析更典型的传染性病毒,例如Ramnit和Virut。
奇怪的触控板程序
Synaptics传染性病毒将其自己的文件描述伪装为笔记本电脑触摸板的Synaptics指点设备驱动程序。病毒运行后,它将遍历磁盘上的所有可执行文件,将目标文件更新为病毒资源,用目标文件图标替换病毒文件的图标资源,然后用病毒文件覆盖目标文件以完成操作。感染。
在使用计算机的过程中,用户不会有太明显的感觉,因为在受感染的程序运行之后,它将首先执行病毒代码并随机释放正常文件以供执行。下图是受感染的7z安装程序。通过比较,我们可以发现两者之间的一些差异:
受感染目标文件的代码逻辑如下:
通过ResourceHacker工具检查受感染的文件,并将新的“ EXERESX”资源添加到RCData资源中,该资源与正常程序相对应:
除了感染可执行程序外,它还将以几乎相同的方式感染xlsx文件。被感染的文件将在下图中包含宏代码,主要用于下载Synaptics病毒(下载链接已过期)并将其植入到目标计算机中。感染xlsx的目的是更轻松地将文档文件传播到其他计算机。
每种传染性病毒还具有其他一些恶意功能,而Synaptics具有后门功能。与CC服务器建立连接后,它会通过接受后门指令(包括屏幕截图,文件下载,键盘记录等)来执行各种恶意功能。
如何彻底清除传染性病毒?
由于感染性病毒的特殊感染机制,在去除感染性病毒方面存在某些挑战。在处理过程中稍有疏忽可能会导致程序重新感染。建议使用360安全卫士()并在检测到感染性病毒时启用防感染模式以进行全面扫描:
360安全卫士可以检测,杀死和修复受感染的程序,并从受感染的程序中删除恶意代码,就像使用刀去除患者体内的肿瘤一样。
本文来自本站,转载请注明本文网址:
http://www.pc-fly.com/a/shouji/article-377307-1.html
……