一、蠕虫病毒

1、病毒特征

病毒名：Synaptics.exe
- 该病毒既可以通过带有恶意宏代码的Excel文档传播，也可以通过对正常的EXE文件进行偷梁换柱的方式传播。一旦感染，病毒会拦截用户新建或打开Excel文档的行为，并将这些文档替换成带有恶意宏代码的文档，进而下载并执行病毒主体文件Synaptics.exe，进一步感染其他机器。
创建原始病毒文件夹：C:\ProgramData\Synaptics，内含：
- WS子文件夹(为空)
- Synaptics.exe
  - 大小：754KB
释放病毒文件：C:\用户\***\AppData\Local\Temp下
- 文件：qk3296d7.exe
  - 大小：753KB
  - CRC32：7EB2AB4D

2、感染特点

运行第一次感染的可执行程序，并使用其感染程序图标，其后随着使用者运行感染程序而改变。
被感染文件首次执行时会在同文件夹内新产生一个和感染文件同名且前缀为：“ ._cache_ ”的病毒文件。
系统被感染后，对任何插入的U盘，都会被病毒搜索到，并立即采取遍历可执行文件的方式感染。成为新的感染源，使用者在不知不觉中，只要在其它电脑上运行U盘中的程序，就会感染其它电脑。
病毒只感染可执行文件，无法感染压缩文件。
病毒首次在硬盘或U盘被触发传染时，硬盘灯或U盘指示灯会狂闪（说明在病毒在疯狂感染文件，也就是写文件的过程），同时会莫名弹窗提示文件没有权限，这可能是病毒Bug，也是提醒我们系统已经异常的警报。

其在注册表中创建2个启动项：

路径：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\mydesk]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"  
"item"="mydesk"  
"hkey"="HKCU"  
"command"="C:\\Users\\WWH\\Desktop\\mydesk 1.0.7.0\\mydesk.exe"  
"inimapping"="0"  
"YEAR"=dword:000007e4  
"MONTH"=dword:00000004  
"DAY"=dword:00000002  
"HOUR"=dword:00000017  
   "MINUTE"=dword:0000001e  
"SECOND"=dword:0000001e

路径：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\Synaptics Pointing Device Driver]

"key"="SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run"  
"item"="Synaptics Pointing Device Driver"  
"hkey"="HKLM"  
"command"="C:\\ProgramData\\Synaptics\\Synaptics.exe"  
"inimapping"="0"  
"YEAR"=dword:000007e4  
"MONTH"=dword:00000004  
"DAY"=dword:00000002  
"HOUR"=dword:00000017  
"MINUTE"=dword:0000001e  
"SECOND"=dword:0000001e

3、处理方法

手动操作：
- 先删除病毒的自启动项（其在注册表中创建的2个启动项，上文所示）。
- 再删除病毒本体及复制体文件及文件夹（上文病毒特征中所示的文件及文件夹）。
- 用火绒全盘查杀，并重新启动系统，再次全盘查杀。【注意：第一遍全盘查杀后一定要重启电脑，然后不要开启任何软件再查杀一遍】
- 最后系统正常，删除火绒隔离区内的备份的病毒文件。
蠕虫病毒专杀工具
- Gitcode：https://gitcode.com/open-source-toolkit/b4e00/