Synaptics Pointing蠕虫木马防中招和提取无木马文件分析

hope1

《Synaptics Pointing Device Driver》

Synaptics是一个蠕虫木马，具有感染性。木马运行后显示一个隐藏工具，会复制自身至C:\ProgramData\Synaptics目录，在设置注册表自启动。之后创建两个线程。

相信很多小伙伴都中招了，我尝试过用QQ管家和QQ管家急救箱，360急救箱，全盘或者强力模式都对已经感染的文件不能查杀和修复，结果都是无果。





下面我教下大家如何对已经被捆绑了Synaptics蠕虫木马的软件去除和提取 并如何查自己哪些常用软件是中了此木马。

查哪些软件中了此木马比较简单，右键对软件属性，即可看到描述是Synaptics Pointing Device Driver，详细信息也是此描述，基本就是被捆绑了这个木马。



拖进OD看看 我这个是一个易语言编译的无壳程序，懂点OD的应该也发现，易语言的OEP并不是这样，被捆绑了木马的OEP变成了这样，并下面有Synaptics的字符串，

已经确实这个软件已经被感染了，下面演示，怎么不运行，把没中木马的文件提取出来，方法比较简单，把中了这个蠕虫木马软件载入到OD里，

用论坛发的PE提取工具提取一下即可。如果之前电脑已经运行过这个蠕虫木马的程序，打开任务管理器，会有一个进程《Synaptics.exe》先结束掉此进程，

然后删除C:\ProgramData\Synaptics目录即可，目录是隐藏的，请打开系统的显示文件隐藏功能，然后你打开没有被捆绑Synaptics木马的软件，

就不会被感染了，如果不清除，您的电脑里的软件只要打开一次都会被感染。这里我打开一下被感染的，然后去运行以下没有被感染的看看，没有被感染，

另外其实被感染的软件打开后他会释放原来的没被感染的文件，._cache_XXXX开头的释放原来的没被感染的文件，就是只是被隐藏了起来，

这里剩下的就自己去研究下吧，感谢观看。

视频教程下载：

本地下载：https://www.90pan.com/b1554818

高速下载：

游客，如果您要查看本帖隐藏内容请回复

zxcvbbn

啥也不说了，感谢楼主分享哇！

lpnb

啥也不说了，感谢楼主分享哇！

张艺兴

正需要，支持楼主大人了！

JIM

啥也不说了，感谢楼主分享哇！

我的瑾ˇ

这个帖一般般，还可以哦。

五香花生

啥也不说了，感谢楼主分享哇！

578233097

啥也不说了，感谢楼主分享哇！

魅幽

啥也不说了，感谢楼主分享哇！

559404627

啥也不说了，感谢楼主分享哇！

cyccyc

正需要，支持楼主大人了！