警惕!蠕虫病毒Synaptics.exe可能正在感染你的电脑

2021 年 8 月 11 日 0 条评论 3.27k 次阅读 2 人点赞

最近,小编发现一些用户电脑上的软件变成了._cache_ude,而正常状态下的软件显示是ude,如下图所示:

synaptics.exe蠕虫病毒

那这两个应用程序有什么区别呢?

“ude”就是一个普通的应用程序,双击即可运行使用。

._cache_ude”是被Synaptics.exe感染的病毒文件。Synaptics.exe是蠕虫木马,具有感染性,其属于蠕虫类感染性病毒。如果软件名前有 ._cache 的话,就说明你的程序已经被病毒Synaptics.exe感染了。

感染性病毒Synaptics.exe有什么特点?

1. 行动轨迹(并行操作不分先后):

一是:其在C:\ProgramData\Synaptics创建原始病毒文件夹,内含“WS”子文件夹(为空)和“Synaptics.exe”文件(大小:754KB)。

Synaptics.exe病毒

二是:其在C:\用户\***\AppData\Local\Temp中,释放文件“qk3296d7.exe”(大小:753KB,CRC32:7EB2AB4D)。

Synaptics.exe病毒

2. 病毒感染特点:

① 运行第一次感染的可执行程序,并使用其感染程序图标,其后随着使用者运行感染程序而改变。

② 可执行程序被感染后,右键属性后发现“描述”内容被改变为:“Synaptics Pointing Device Driver”。

③ 被感染文件首次执行时会在同文件夹内新产生一个和感染文件同名且前缀为:“._cache_”的病毒文件。

④ 系统被感染后,对任何插入的U盘,都会被病毒搜索到,并立即采取遍历可执行文件的方式感染。成为新的感染源,使用者在不知不觉中,只要在其它电脑上运行U盘中的程序,就会感染其它电脑。

⑤ 病毒只感染可执行文件,无法感染压缩文件。

⑥ 病毒首次在硬盘或U盘被触发传染时,硬盘灯或U盘指示灯会狂闪(说明在病毒在疯狂感染文件,也就是写文件的过程),同时会莫名弹窗提示文件没有权限,这可能是病毒Bug,也是提醒我们系统已经异常的警报。

⑦ 其在注册表中创建2个启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mydesk]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mydesk"
"hkey"="HKCU"
"command"="C:\\Users\\WWH\\Desktop\\mydesk 1.0.7.0\\mydesk.exe"
"inimapping"="0"
"YEAR"=dword:000007e4
"MONTH"=dword:00000004
"DAY"=dword:00000002
"HOUR"=dword:00000017
"MINUTE"=dword:0000001e
"SECOND"=dword:0000001e

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synaptics Pointing Device Driver]
"key"="SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Synaptics Pointing Device Driver"
"hkey"="HKLM"
"command"="C:\\ProgramData\\Synaptics\\Synaptics.exe"
"inimapping"="0"
"YEAR"=dword:000007e4
"MONTH"=dword:00000004
"DAY"=dword:00000002
"HOUR"=dword:00000017
"MINUTE"=dword:0000001e
"SECOND"=dword:0000001e

3. 处理方法:

① 先删除病毒的自启动项(其在注册表中创建的2个启动项,上文⑦中所示)。

② 再删除病毒本体及复制体文件及文件夹(上文行动轨迹中所示的文件及文件夹)。

③ 用火绒全盘查杀,并重新启动系统,再次全盘查杀。【注意:第一遍全盘查杀后一定要重启电脑,然后不要开启任何软件再查杀一遍】

④ 最后系统正常,删除火绒隔离区内的备份的病毒文件。

4. 感染性病毒简介

① 感染型病毒,就是将自身隐藏在其它执行程序中,达到传播和作恶目的。只要被感染的程序运行,病毒也就跟着激活了。病毒和被感染的程序就像宿主和寄居的关系,只要不破坏宿主,用户就很难发现程序确实中毒了,病毒也得以继续隐藏、作恶,比如窃取你的上网信息、回传系统信息、开后门下载其它病毒等等。更可恶的是,还能继续感染电脑上其它可执行的程序,影响甚大

② 感染型病毒具备寄生性、传染性、潜伏性,隐蔽性、破坏性、可触发性等等各种特征,确保不让用户发现还能做坏事。

③ 如若没有特殊要求,尽量还是安装一个杀毒软件。