Synaptics感染型病毒溯源

背景介绍：

SIP上出现安全告警事件，主机访问delf家族通信域名，事件标签delf、后门软件。客户运维人员对告警主机用360全盘扫描及重装，仍然反复告警。客户要求进行溯源定位问题原因。

处理思路：

①  访问的恶意域名为xred.mooo.com，先在第三方情报平台确认是否为误报。可以多找几家确认，奇安信的平台会有相关安全报告，可以参考。

②  确认为非误报后，定位具体进程；（其实根据域名相关安全报告也可以获取恶意进程）

首先使用sysmon进行DNS日志的定位，但在WIN7安装配置后发现无法有效采集DNS日志，核实后WIN7不支持DNS日志采集。

使用MemScanner工具，使用该工具定位到问题进程。

配置：

检索结果：

③  定位到问题进程后，在搜索引擎搜索问题进程，可以查到相关的病毒分析处置资料，有助于进行溯源工作。

④  结合病毒分析处置的资料，了解病毒特点进行处置。

该病毒会在C:\ProgramData\Synaptics创建原始病毒文件夹，内含“WS”子文件夹[为空]和“Synaptics.exe”文件[大小：754KB]。

但我未在目录下发现文件，查看文件夹属性发现被隐藏了且无法修改。

查询相关内容，有一个命令可以解决。

再次查看目录，发现病毒文件了。

在C:\用户\***\AppData\Local\Temp中，释放文件“qk3296d7.exe”[大小：753KB，CRC32:7EB2AB4D]

此程序图标显示为运行第一次感染的可执行程序，并使用其感染程序图标，其后随着使用者运行感染程序而改变；

被感染文件首次执行时会在同文件夹内新产生一个和感染文件同名且前缀为：“._cache_”的病毒文件[此文件隐藏]；

可执行程序被感染后，右键属性后发现“描述”内容被改变为：“Synaptics Pointing Device Driver”[被感染的文件属性改变相同，大小增大，且创建文件时间改变]；

系统被感染后，对任何插入的U盘，都会被病毒搜索到，并立即采取遍历可执行文件的方式感染。成为新的感染源，使用者在不知不觉中，只要在其它电脑上运行U说服力中的程序，就会感染其它电脑。

病毒只感染可执行文件，和网银相关的文件[目的明确]，无法感染压缩文件。

其在注册表中创建2个启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\mydesk]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\Synaptics Pointing Device Driver]

排查中未发现注册表存在修改。

⑤  最终定位到被感染文件在D盘和E盘，客户运维重装系统时只格式化了C盘文件因此出现反复感染的现象。且客户U盘文件被感染，拷贝文件运行后，终端也会感染该病毒。

将360的病毒库更新至最新后，测试可以进行查杀闭环。