這個惡性病毒Pengex有點拽,正兇悍地攻擊各路殺軟
導語:有一種病毒會繞著殺毒軟體走,做賊心虛,生怕殺軟發現自己。還有一類,卻大搖大擺,喜歡和殺軟正面剛,甚至主動挑釁對手。
本文作者:李勤
有一種病毒會繞著殺毒軟體走,做賊心虛,生怕殺軟發現自己。還有一類,卻大搖大擺,喜歡和殺軟正面剛,甚至主動挑釁對手。
今天要說的就是後者,這種不怕死的病毒。
7 月 6 日傍晚,雷鋒網注意到,火絨安全實驗室在其官方微信公眾號稱,其截獲到一種內核級後門病毒,並命名為「Pengex」病毒。經分析,「Pengex」以劫持用戶首頁流量牟利為目的,但是不同於其他「流量劫持」類病毒,「Pengex」 技術高明、手段兇狠,會主動攻擊國內主流的安全軟體,使他們失去內核對抗能力,這會讓電腦完全失去安全防護。火絨、360、金山、2345、瑞星、百度……都是它的攻擊對象。
火絨安全合夥創始人馬剛向雷鋒網強調,「Pengex」通過盜版系統盤和「註冊機」軟體進行傳播,可以各種鎖首頁,並在用戶電腦中留下後門,日後可隨時植入任意病毒和流氓軟體,威脅隱患極大。這也是對一般人影響最大的地方,並因為「Pengex」的傳播方式,再三提醒用戶盡量不要使用盜版系統盤,以免中招。
「Pengex」不僅這樣「折騰用戶」,還使盡手段力圖搞掉對手。
火絨稱,「Pengex」會攻擊各種主流的殺毒軟體,包括火絨、360、金山等,導致這些軟體的驅動無法載入,因此失去在內核層對抗病毒的能力。
這個病毒的「作案動機」是什麼?
無非還是盈利。
雷鋒網了解到,「Pengex」通過修改瀏覽器配置和進程啟動參數兩種方式,來劫持首頁牟利,這也是馬剛此前提到,為什麼該病毒會鎖定用戶首頁的原因。
在這個過程中,病毒還會按照製作者的計劃,將不同的瀏覽器指向不同的導航站。
不可思議的是,這個病毒十分霸道,懟天懟地懟對手外,連同類病毒也不放過。
原來,它攻擊同類病毒是為了獨佔用戶電腦首頁資源牟利。火絨稱,該病毒劫持首頁後設置的渠道號是「oemxiazaiba2」(「下載吧「的全拼),請各大導航站關注並查證這個渠道賬號。
不過,你不要太過驚慌,畢竟這一類病毒四處干架已經是常態。
大家好,我是一個病毒,這次我想推個軟體,所以,呵呵,不好意思,我要來了。跟老子搶首頁,門都沒有!幹掉這幫跟我搶首頁的病毒,也幹掉這幫跟我搶首頁的殺軟!不好意思,我就是看你殺軟不順眼,有我南霸天在的地方,你敢說啥?不服,好,來!
馬剛稱,病毒推軟體,病毒搶首頁,病毒干殺軟,病毒跟殺軟搶首頁……這些屬於常見攻擊,但此次惡意病毒不同的地方在於——這一位十分地兇悍,因為該病毒通過系統盤傳播,中招的人也不少。
雷鋒網(公眾號:雷鋒網)了解到,目前火絨已經更新病毒庫,可以查殺該病毒。在第一時間通報後,馬剛認為,其他殺軟應該也會跟進預防。
在判斷正在載入的映像是否屬於黑名單時,病毒先常見的內核級流量劫持病毒的文件名進行匹配,如果文件名中包含 Mslmedia.sys 或者 mssafel.sys 則會禁止其執行。之後,病毒會獲取當前映像的簽名信息與黑名單中的簽名信息進行匹配,如果包含則也會禁止其執行。
黑名單中的簽名信息包括:火絨、360、金山、2345、瑞星、百度,甚至還包括 ADSafe 的簽名和病毒常用「上海域聯」簽名信息。
此外,火絨還提到,在該病毒的分析中,也有一份白名單,白名單如下:
以下為火絨發布的該病毒的部分分析:
該病毒是一個內核級後門病毒,初步懷疑該樣本主要通過第三方系統盤方式進行傳播。該樣本在系統中運行後,會 造成國內主流安全軟體驅動程序無法正常載入,從而使安全軟體失去防禦能力。該病毒主要對抗的安全廠商包括:火絨、360、金山等,其惡意代碼執行之後,可以執行遠端 C&C 伺服器存放的任意病毒代碼。
該病毒分為兩個部分,即病毒載入器和後門病毒, 下文中分為兩部分進行詳細分析。病毒結構如下圖所示:
病毒載入器
該部分代碼主要用於對抗安全軟體查殺和進行內核對抗。載入器功能代碼分為兩個部分,先會在內存中通過虛擬映射載入一個新的ntoskrnl鏡像,再通過相同的方式將真正的病毒驅動載入到內存中,並且將導入的ntoskrnl中的函數地址指向其虛擬載入的ntoskrnl鏡像中的函數地址上, 通過此方法可以繞過其他驅動在ntoskrnl中設置的內核鉤子。全局變數is_virus_load是一個標記,通過傳入驅動主函數中的RegistryPath參數是否為NULL判斷是否為病毒通過虛擬映射方式載入。如下圖所示:
載入器驅動主函數代碼
內核級後門
該病毒執行後,會不斷地與C&C伺服器(域名:caoduba.com或139.129.234.76,通訊埠:7897)進行通訊。病毒使用的域名和IP地址解密代碼,如下圖所示:
解密域名和IP地址
雷鋒網原創文章,網站轉載請至雷鋒網官網申請授權。歡迎熱情討論,轉發分享~
?
※中國工程院潘雲鶴教授演講:全面解析中國新一代AI研究方向
※全球人工智慧與機器人峰會現場,各種精彩花絮
※CCF-GAIR全球人工智慧與機器人峰會在深圳正式召開
※CCF-GAIR開幕!中國AI、機器人產學研跨界進入新時期
※票在手,跟我走,CCF-GAIR 2017大會導航帖
TAG:雷鋒網 |
※勒索、挖礦同時下手,這個Satan變種病毒有點「牛」
※GarrantyDecrypt變種出現:「我是一個沒有感情的勒索病毒」
※新型挖礦病毒Wmixml現身 Drupal曝第三個嚴重缺陷
※Nature新發現:原來病毒也有性別歧視?
※感染HPV,給免疫系統套上3種「buff」,不管是哪一型病毒都被嚇跑
※秒殺宏病毒,解剖Emotet技術難點
※Nature Review:甲型流感病毒物種特異性的宿主和病毒決定因素
※近 5 萬玩家下載 Minecraft 遊戲 Skin 卻感染病毒,硬碟更可能慘遭格式化
※Nature Communication:原來病毒也有性別歧視?
※高危!勒索病毒GlobeImposter恐全面爆發,防勒索病毒刻不容緩
※Nat Commun:一種新的非傳統免疫細胞可以對抗病毒感染
※Science Advances:病毒複製新弱點助力廣譜抗病毒藥物誕生
※Valve下架Steam疑似安裝挖礦病毒的平台遊戲
※Steam上這款遊戲或是偽裝的病毒,把玩家PC變成礦機
※踢殺病毒庫:Apabetalone作為艾滋病治療藥物的潛力
※《Scientific Reports》:遠紫外線可殺死流感病毒,且無皮膚癌風險!
※ASWCrypter:該工具生成的Payload可以繞過目前所有的反病毒產品
※steam上這款遊戲或是隱藏病毒,竟這樣把玩家pc當成礦機?
※Science:揭示病毒的一種新的進化之路
※中了GandCrab勒索病毒?別怕!這裡有免費解密工具