最近更新于 2023-02-11 00:09
我电脑上没有安装第三方杀毒软件,系统的 Defender 也关闭了的。
我一直比较自信,在网上下载软件也能辨别全家桶下载器,几年都过来了,没有出现过病毒感染,以及广告弹窗的情况。
然而今天打破了
我去搜了一下 Synaptics,发现这可能是一种病毒(伪装名字和一种触摸板驱动一样)
在启动项发现了它
然后根据网上的一些描述说在 C:\ProgramData 下会出现一个 Synaptics 文件夹
不过 ProgramData 是隐藏文件,默认设置不可见,显示隐藏文件打开后可以看到,但是依然看不到 Synaptics,而在里面创建这个名字的文件夹又说存在,那么就代表是系统保护的隐藏文件,还得再勾选一个才能显示出来
照网上说的,看到这个就是很大概率感染病毒了
然后我下载安装了 360 进行扫描
扫描完后,我看了一下
带病毒的 Excel 文件扩展名被改了,从 xlsx 改为 xlsm(启用宏)
带病毒的可执行文件属性描述变成了 Synaptics Pointing Device Driver
说明这个 exe 文件被套壳了,exe 文件原功能正常执行,但是附带了病毒数据
我看了一下 C:\ProgramData\Synaptics 文件夹的修改时间
在 360 扫描出的感染文件中,我看到一个近期从某群群文件下载的东西,我去翻了一下记录,正好也是那天,感觉很大概率就是那个文件带病毒。在 360 查杀完成后,我重新去下载了那个文件,点开属性一看…还真的是
那个可执行文件还是用于 DDOS 攻击的,有点怀疑作者的意图就是把用户当肉鸡。使用这个工具进行 DDOS 攻击,在运行的时候你自己也变成了肉鸡,别人进行 DDOS 攻击时,也会控制你的电脑去访问目标。
另外这个软件有点特别的地方,要以管理员权限才能正常使用,这也给了它权限向系统文件夹感染。当时运行的时候也注意到要求以管理权权限运行它有点反常(DDOS 应该是控制别的肉鸡向你要攻击的目标发起访问,在大量用户的访问下,使目标计算机无法正常处理请求。所以为啥要自己电脑的管理员权限),不过当时没有多想,就用管理员权限运行了。(我只是想看看这个软件的界面布局做成什么样的)
在 360 运行状态下,我又测试了一下,并且是不隐藏“受保护的操作系统文件”的情况下(前面操作时打开后没关)。一运行就在当前目录下另外创建了两个以 ._cache 开头的隐藏文件,不过它的其它敏感操作被 360 拦截下来了,并且被检测到病毒特征
所以来历不明的软件,还是不能随便运行