前言

Synares是去年出现的感染型病毒，当时为了弄清病毒的感染逻辑，也大致分析了一下这个病毒，最近整理文档，又发现了之前写的简短的分析报告

样本简单分析

当运行非C:\ProgramData\Synaptics\Synaptics.exe目录的病毒文件，首先查找自己的资源是否存在，（资源名EXERESX是被感染的前的源文件，如果存在EXERESX资源说明这是一个已经被感染的文件），存在后释放到当前目录并隐藏，创建进程执行释放的源文件。

样本会判断互斥体避免多开，获取一些资源信息，创建启动项，将病毒母体文件释放到C:\ProgramData\Synaptics\Synaptics.exe,文件属性设置为隐藏

获取系统版本信息，以InjUpdate为参数创建C:\ProgramData\Synaptics\Synaptics.exe目录下进程，母体进程来执行

1、 母体病毒运行逻辑：遍历电脑中的一些指定特殊目录

C:\Users\username\Documents
C:\Users\username\Desktop
C:\Users\username\Downloads

遍历指定后缀名：.exe .xlsx文件

感染步骤：

遍历来的文件A.exe(举例说明)首先判断资源EXEVSNX是否存在，是否已经被感染过，已经感染的文件将会跳过、未被感染的文件将执行感染函数infected_file_fun

感染逻辑：

首先病毒会将Synaptics.exe母体文件复制到temp目录，重命名一个随机名字的文件，然后将遍历到的要感染文件添加到随机名字母体文件名为EXERESX资源中,获取源文件要感染文件的图标资源更改随机名字母体文件图标资源，最后覆盖被感染文件完成文件感染。

感染xlsx文件，与后缀为exe感染模式一样，将病毒母体资源XLSM文件放在temp目录进行感染然后拷贝回原路径，不同的是文件格式被更改为xlsm，并会在原目录下释放名为~$cache1文件，该文件也是病毒具有感染功能，被感染的xlsx文件被添加了宏文件，打开宏被设置了密码无法查看，启动时原内容都会被清空，只有启动宏才会恢复内容，但同时被释放到当前目录的病毒文件$cache1也会被启动，继续进行恶意行为。

病毒还会连接网络下载文件，但是网址文件已经无法获取。

hxxp://freedns.afraid.org/api/?action=getdyndns&sha=a30fa98efc092684e8d1c5cff797bcc613562978

大致分析就是这些