首先我们第一时间就拿到了这个样本，这个样本不出所料，右键→文件属性可以看到文件描述如下关键词

Synaptics Pointing Device Driver

那么我们翻译一下，这个叫做触摸设备驱动程序，然后我很不小心的，执行了这个文件，看到这个程序释放了另一个文件，这个文件具备以下特性

• 具备与本体一样的图标
• 比本体文件减小约800KB
• 具备文件的真实信息，文件描述不再是Synaptics Pointing Device Driver
• 文件具备强制隐藏属性、系统文件属性，常规情况下不可见

我们尝试执行这个隐藏文件，发现该文件具备和刚才的文件相同功能

由此，我对文件进行跟踪，发现执行记录如下

已创建进程    C:\Windows\SysWOW64\._cache_**.exe
创建文件夹    C:\ProgramData\Synaptics
创建文件     C:\ProgramData\Synaptics\Synaptics.exe
创建文件     C:\ProgramData\Synaptics\RCX9791.tmp
重命名文件    C:\ProgramData\Synaptics\Synaptics.exe
已创建进程    C:\ProgramData\Synaptics\Synaptics.exe
已结束进程    C:\Users\Fantasy\Desktop\**.exe
创建文件夹    C:\ProgramData\Synaptics\WS

可以看到，该名为**.exe的程序执行后，在C:\ProgramData创建了一个\Synaptics目录，ProgramData平时并不可见，可见是具备隐匿行为的，并且释放了一个名为Synaptics.exe的应用程序，并且执行，同时，这时候聪明的你发现，刚刚能打开的文件为**.exe，但事实上，创建的进程为.cache**.exe(真实文件)，同时创建了一个WS目录，用处不明

接下来，我们随机点击桌面一个exe应用程序，查看属性，会发现，属性描述均替换为Synaptics Pointing Device Driver，并且执行的时候，均可找到同名的.cache**.exe文件

接着我们对这个Synaptics Pointing Device Driver进行分析，具备Trojan.Backdoor.Heur.gen的特征(简单说就是灰鸽子)同时具备Trojan[Downloader]/Script.AGeneric(下载者)以及Trojan-PWS.Win32.QQPass(盗号木马)的特征，

自我循环 设置注册表实现自启动

开机自启，并且启动后会持续监听，感染性极强，下载者可以在几分钟内下载大量文件，导致系统降速

反逆向 检测自身是否正在被调试

防止编译调试，防止破解

拷贝自身 将自身拷贝到其他目录下

本次站长分析的文件，在2小时左右，释放了约300GB文件在系统盘，会导致系统宕机

那么将这个文件提取修改的过程中，也发现了对方的服务器，发现原始文件中就存在此恶意程序，进行清理后，已经做好编译，因工具泛滥会对游戏产生影响，本站付费提供，本工具不再提供有效期限制，无任何恶意行为，并且不绑定设备

本程序适用于 EPIC相关游戏程序，对系统具备修改性，完整有效