概要:哔哩哔哩UP主“极致资源站”传播的那个zyplayer被感染了Synares病毒,但是这个UP死不认账;别人去他视频下面评论说有病毒,结果这种评论都被那个UP删除了。
视频在这:https://www.bilibili.com/video/BV1yG411o7Ue/
一、事情经过
病毒吧某求助者下载了某UP推荐的软件,结果第二天发现自己的电脑中毒了。
于是我根据求助者提供的视频地址找到了这个UP,而样本下载方式需要关注这个UP私信“ZY”才能获得下载地址。
按照UP主的要求私信获取下载地址。
二、详细分析
1、病毒的诞生
zyplayer-win-3.2.5-x64.exe是一个打包程序,运行后会释放一个以“._cache_”为前缀的正常文件,和蠕虫病毒“Synaptics.exe”。蠕虫病毒文件被释放于ProgramData的Synaptics文件夹下。简单说,“._cache_zyplayer-win-3.2.5-x64.exe”是安全的软件,病毒是“Synaptics.exe”。
Synaptics文件夹属于隐藏属性,正常情况下是看不到的,需要设置“显示隐藏的文件、文件夹和驱动器”还有取消对“隐藏受保护的操作系统文件”选项的勾选才能看到。
释放出病毒后,在注册表设置病毒的开机启动项
2、病毒的绝招
病毒会遍历系统中的三个位置,分别是“Desktop”、“Documents”和“Downloads”。
病毒会感染上面三个位置的文件。病毒会感染文件的代码内容,还会修改文件的图标。
连接C2服务器
病毒的后门模块。截取屏幕,执行CMD命令,下载其他木马等。
联网下载其他木马程序,但由于URL的域是谷歌,所以没有连接成功
三、UP主“极致资源站”的态度
别人去他视频下面评论说这个软件疑似被感染了,结果UP主话里话外就是不承认。等一段时间再去看,有关有病毒的发言内容都被UP主删除了。
受害者去评论说有病毒,结果被这个UP主拉黑。
UP主“极致资源站”。
四、附录
这个是微步的分析报告:https://s.threatbook.com/report/file/ec1f846c8e0826988e322434ace582db012f2f9be7ace9c9d958fc2c3938b299
这是受害者的求助帖:https://tieba.baidu.com/p/8577122659
视频地址:https://www.bilibili.com/video/BV1yG411o7Ue/
视频在这:https://www.bilibili.com/video/BV1yG411o7Ue/
一、事情经过
病毒吧某求助者下载了某UP推荐的软件,结果第二天发现自己的电脑中毒了。
于是我根据求助者提供的视频地址找到了这个UP,而样本下载方式需要关注这个UP私信“ZY”才能获得下载地址。
按照UP主的要求私信获取下载地址。
二、详细分析
1、病毒的诞生
zyplayer-win-3.2.5-x64.exe是一个打包程序,运行后会释放一个以“._cache_”为前缀的正常文件,和蠕虫病毒“Synaptics.exe”。蠕虫病毒文件被释放于ProgramData的Synaptics文件夹下。简单说,“._cache_zyplayer-win-3.2.5-x64.exe”是安全的软件,病毒是“Synaptics.exe”。
Synaptics文件夹属于隐藏属性,正常情况下是看不到的,需要设置“显示隐藏的文件、文件夹和驱动器”还有取消对“隐藏受保护的操作系统文件”选项的勾选才能看到。
释放出病毒后,在注册表设置病毒的开机启动项
2、病毒的绝招
病毒会遍历系统中的三个位置,分别是“Desktop”、“Documents”和“Downloads”。
病毒会感染上面三个位置的文件。病毒会感染文件的代码内容,还会修改文件的图标。
连接C2服务器
病毒的后门模块。截取屏幕,执行CMD命令,下载其他木马等。
联网下载其他木马程序,但由于URL的域是谷歌,所以没有连接成功
三、UP主“极致资源站”的态度
别人去他视频下面评论说这个软件疑似被感染了,结果UP主话里话外就是不承认。等一段时间再去看,有关有病毒的发言内容都被UP主删除了。
受害者去评论说有病毒,结果被这个UP主拉黑。
UP主“极致资源站”。
四、附录
这个是微步的分析报告:https://s.threatbook.com/report/file/ec1f846c8e0826988e322434ace582db012f2f9be7ace9c9d958fc2c3938b299
这是受害者的求助帖:https://tieba.baidu.com/p/8577122659
视频地址:https://www.bilibili.com/video/BV1yG411o7Ue/