Synaptics蠕蟲病毒已經(jīng)多次在我周圍肆虐了，因?yàn)檫@個(gè)破病毒我曾經(jīng)差點(diǎn)被人網(wǎng)絡(luò)暴力。

關(guān)于這個(gè)病毒，以下有不少資料可以參考。

• https://www.52pojie.cn/thread-1066827-1-1.html

• https://blog.csdn.net/skystephens/article/details/104901398

總得來說就是，這個(gè)垃圾在啟動(dòng)后會(huì)試圖將自己持久化，然后掃描一些特殊路徑下的 exe 和 xlsx 文件，將病毒代碼注入其中，完成大面積的感染。

它會(huì)偽裝自己，因?yàn)楦腥竞蟮?exe 啟動(dòng)后，在干壞事的同時(shí)還會(huì)釋放原本的 exe 啟動(dòng)之。

但是不知是病毒作者的疏忽還是有意為之，如果感染源是一個(gè)有圖標(biāo)的 exe 文件，被它感染的 exe 文件如果沒有圖標(biāo)則也會(huì)帶上這個(gè)圖標(biāo)，這個(gè)現(xiàn)象是非常容易引起用戶警惕的。另外，它啟動(dòng)原本的 exe 在傳參過程中可能有問題，因?yàn)橐恍┍桓腥镜拿钚泄ぞ叩男袨榕c原本的不一致。

與新冠病毒類似，它把點(diǎn)數(shù)大部分都用在了傳染性而非破壞性上，這也是它流傳如此之廣的原因。正是因?yàn)樗枰獋窝b自己，所以它需要把原始的 exe 文件完完整整地留下來，所以我們是可以將被感染的 exe 完完整整地恢復(fù)回去的。

根據(jù)逆向大佬的分析，我們從?ResHacker?中可以看到被感染后的 exe 會(huì)把原本的 exe 保存在名為?EXERESX 的 RCDATA 中，另外會(huì)在 EXEVSNX 中存儲(chǔ)當(dāng)前的病毒版本。

病毒在感染 exe 文件時(shí)，會(huì)首先判斷 EXEVSNX 是否存在，如果不存在則認(rèn)為它沒有被感染，那么感染它；如果?EXEVSNX 中存儲(chǔ)的版本號(hào)較低則更新它；否則對(duì)其不做任何事。

那么我們只需要檢測一個(gè) exe 文件是否存在?EXEVSNX，如果存在則檢測其 EXERESX 是否存在，如果也存在，那么把里面的二進(jìn)制數(shù)據(jù)全部提取出來，就能把原來的 exe 給恢復(fù)了。

在 2020 年我中招的時(shí)候，騰訊電腦管家在處理被這種病毒感染的文件時(shí)，它會(huì)把原本的 exe 留下，360 沒試過。昨天晚上我有個(gè)朋友居然也中招了，然后用管家和 360 試了，都會(huì)把被感染的文件直接干掉，所以無奈只能自己寫了一個(gè)處理工具（當(dāng)時(shí)沒發(fā)現(xiàn) 52pojie 已經(jīng)有人寫了）。

工具是用 C++ 寫的，使用了 VC-LTL 減少了依賴與體積，可以在沒有 vcruntime 的?x86_64 Windows?系統(tǒng)中運(yùn)行。

此工具有以下三種用法：

1. 恢復(fù)單個(gè)文件

命令行：synaptics-recover.exe <被感染的exe/xlsm路徑> [輸出exe/xlsx路徑]

如果不指定輸出路徑，則會(huì)在同路徑產(chǎn)生一個(gè)以 recover_ 為前綴的輸出文件。

恢復(fù) exe 時(shí)，建議將輸出路徑指定為同一個(gè)路徑，直接替換。

2. 掃描所有進(jìn)程殺掉病毒進(jìn)程，刪除病毒潛伏目錄，刪除注冊(cè)表中病毒的啟動(dòng)項(xiàng)

命令行：synaptics-recover.exe -k

需要管理員權(quán)限，如果不使用管理員權(quán)限，那么如果病毒具有管理員權(quán)限的話，則掃描不到病毒進(jìn)程，也刪不掉病毒目錄。

3. 遞歸掃描一個(gè)目錄中所有 exe 文件，如果發(fā)現(xiàn)是被感染的，則恢復(fù)之

命令行：synaptics-recover.exe?<文件夾路徑>

建議使用管理員權(quán)限，如果不使用管理員權(quán)限，則掃描過程可能不完整。

如果給定的文件夾是 C 盤，則會(huì)自動(dòng)先執(zhí)行 -k 命令。

病毒會(huì)感染 32 位 Windows 可執(zhí)行文件；如果系統(tǒng)安裝了微軟 Excel，則還會(huì)感染 xlsx 文件。

此工具提供 32 位版本，雖然也是 exe，但它是偽裝成被感染的樣子的，是不會(huì)被 Synaptics 病毒感染的。

此工具自身具有一定的危險(xiǎn)性，代碼是開源的，使用 MSVC 工具鏈編譯，可以不使用 VC-LTL。

開源地址：https://github.com/SineStriker/synaptics-recover

下載鏈接：https://wwyy.lanzouj.com/b01fg84za?密碼:fegb

這個(gè)病毒目前已經(jīng)有了進(jìn)化，殺毒軟件并不能百分百檢測到被感染的 exe 文件（我朋友全盤殺毒后執(zhí)行腳本以然能發(fā)現(xiàn)不少漏網(wǎng)之魚）。

建議使用火絨安全軟件（火絨可以恢復(fù)原本的 exe）全盤掃描，清除?C:\ProgramData 中病毒的真身與注冊(cè)表中相應(yīng)鍵位（B站有視頻）。

使用本工具在有管理員權(quán)限的命令提示符中依次掃描各盤符的根目錄，可達(dá)到同樣效果。

喂飯步驟：下載工具后，右鍵-屬性-兼容性-以管理員身份運(yùn)行此程序-確定，然后打開此電腦，從 C 盤開始把磁盤拖拽到工具圖標(biāo)上，等待運(yùn)行結(jié)束，再拖下一個(gè)磁盤，直到掃描完。

最后說明，我不是逆向人，只是參考了別人的資料。這個(gè)工具屬于純實(shí)現(xiàn)（搬磚），沒什么技術(shù)含量，代碼已經(jīng)開源。寫這個(gè)專欄不是為了蹭熱度，而是為將來也在這個(gè)病毒上中招的人提供一個(gè)解決方案。

等以后有空寫一個(gè)圖形化版本的吧。