2026-01-01 05:04:35 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 作者在淘宝购买软件时感染Xred蠕虫病毒，经逆向分析发现该病毒具备键盘监控、信息窃取及USB传播能力，隐藏于系统特定目录。应急处置包括结束恶意进程、删除隐藏文件夹、清理注册表并修复被感染的文件，本文通过实例警示了破解软件风险并提供了完整应急流程。 综合评分： 85 文章分类： 恶意软件,应急响应,逆向分析,安全意识

cover_image

记一次某宝购物无意间触发的远古蠕虫病毒和应急

原创

YNsec

YNsec安全实验室

2025年12月31日 21:05 湖北

点击蓝字关注我们

2025 SUMMARY

故事背景

2025 SUMMARY

最近和朋友一起搞了一个自媒体账号，主要是剪辑一些三角洲行动的游戏日常，试图蹭一下游戏的热度

剪辑的时候因为专业能力实在有限，便没有选择使用PR这类的专业软件，而是使用了某音出品的剪映，这类软件的特点就是简单易上手且拥有丰富的素材库，但是缺点就是想要使用全素材需要开VIP，一个月59的价格实在有点贵，于是我们便想着在某宝买一个低价会员，但是令人疑惑的是，商家宣传图上写着直冲自己号上，结果发来的却是一串卡密和一个下载连接，令人费解，但是还是抱着疑惑下载下来并打开，遂中招，于是有了这篇文章

part 01

某宝商家的陷阱

打开淘宝商家给的连接可以看到这是一个金山文档，其中包含了下载链接

下载后，可以看到其文件夹的内容如下

经过研究，可以确定最上面那个5.9.xxxx的文件夹中是剪映官方的5.9版本，后经查证该版本似乎没有VIP功能的限制，所以被闲鱼、淘宝等平台的卖家以SVIP代充的名义进行倒卖

但是售卖软件还要煞有介事地专门写一个主程序售卖卡密，这怎么看都是一个很奇怪的事情，于是作为一个网安菜鸟的嗅觉促使我打开了IDA，尝试分析该程序

part 02

不慎中招

打开IDA，查看字符串，看到有对键盘、USB进行Hook的函数，以及两个用于发件的gmail邮箱和一个接收用的gmail邮箱，此时心已经凉了一半，已经可以确定是中招了

继续收集信息，该程序的字符串中有大量的URL地址，其中有一个关键的地址，如图

将该地址放到微步社区查找IOC信息

根据IOC信息，得知这是一种名为Xred的蠕虫病毒，是一种早期的蠕虫病毒，采用Delphi编写（光是听这个编程语言的名字都有种年代感扑面而来，至少有十年没听到过Delphi的名字了）

part 03

分析和应急

由于该病毒年代久远，网络上的分析文章很多很详细，所以跟着大佬的思路我也迅速完成了分析，并进行了应急处置

代码使用Delphi7编写，被感染机器的 C:\ProgramData\目录下会有Synaptics目录，其下包含原始的恶意样本，但是图标不固定（图标会更新为最近一次运行被感染exe文件的图标），病毒生成的大部分文件都将其设置为隐藏文件和系统文件（Exlporer设置显示隐藏文件和系统文件或命令行下attrib即可看到）。

另外C:\ProgramData\Synaptics这个路径可以直接访问到，但是无法在C:\ProgramData\路径下直接看见，勾选文件属性中的“隐藏项目”也不行，后续处理中是发现可以直接在终端里执行rm指令删除

逆向过程可以看这篇文章

https://blog.csdn.net/2401_84466223/article/details/138899724

以下是应急过程

已知XRed 病毒是具备远程控制、信息窃取能力的感染型病毒，可以感染本地 EXE 文件及 xlsx 电子表格文件，病毒可通过文件分享和 U 盘、移动硬盘等媒介传播。感染以后有以下特征： 1、存在Synaptics进程； 2、存在

C:\ProgramData\Synaptics\目录，且这个目录被修改为隐藏属性 3、注册表

“HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\”存在“Synaptics”键值 4、发起对xred.mooo.com的连接

故先对其父进程Synaptics进行终止，然后通过终端执行rm指令对C:\ProgramData\Synaptics\目录进行删除，再对注册表进行修复，最后要做的就是对被感染文件进行修复了

通过网上的文章可以得知，被感染机器的Desktop、Documents、Downloads目录下的32位EXE文件和xlsx文件都会被掉包，且该蠕虫病毒已经是被各大杀毒厂商捕获许久的，所以这里就有两种解决方案

1、编写修复工具对以上目录进行遍历和修复

2、直接使用杀毒软件扫描以上目录

修复工具这里有大佬开源的，使用delphi进行编写

https://github.com/forTheBest12138/RepairerForXredWorm

part 03

总结

时光荏苒，不知不觉中，紧张繁忙的一年即将过去，或颓废，或激情。在2026的前夜无意间经历了这一次蠕虫事件，我这尘封许久的公众号也终于再次迎来更新。感谢观看，有打三角洲的师傅欢迎在某音和某B关注我们的账号，ID:三角演义瘤灌蟑。

最后祝各位师傅2026心想事成，读书的师傅学业有成，工作的师傅事业高升，大家新年快乐！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：YNsec安全实验室 YNsec《记一次某宝购物无意间触发的远古蠕虫病毒和应急》