有一種病毒會(huì)繞著殺毒軟件走,做賊心虛,生怕殺軟發(fā)現(xiàn)自己。還有一類(lèi),卻大搖大擺,喜歡和殺軟正面剛,甚至主動(dòng)挑釁對(duì)手。
今天要說(shuō)的就是后者,這種不怕死的病毒。
7 月 6 日傍晚,雷鋒網(wǎng)注意到,火絨安全實(shí)驗(yàn)室在其官方微信公眾號(hào)稱(chēng),其截獲到一種內(nèi)核級(jí)后門(mén)病毒,并命名為“Pengex”病毒。經(jīng)分析,“Pengex”以劫持用戶(hù)首頁(yè)流量牟利為目的,但是不同于其他“流量劫持”類(lèi)病毒,“Pengex” 技術(shù)高明、手段兇狠,會(huì)主動(dòng)攻擊國(guó)內(nèi)主流的安全軟件,使他們失去內(nèi)核對(duì)抗能力,這會(huì)讓電腦完全失去安全防護(hù)?;鸾q、360、金山、2345、瑞星、百度……都是它的攻擊對(duì)象。
火絨安全合伙創(chuàng)始人馬剛向雷鋒網(wǎng)強(qiáng)調(diào),“Pengex”通過(guò)盜版系統(tǒng)盤(pán)和“注冊(cè)機(jī)”軟件進(jìn)行傳播,可以各種鎖首頁(yè),并在用戶(hù)電腦中留下后門(mén),日后可隨時(shí)植入任意病毒和流氓軟件,威脅隱患極大。這也是對(duì)一般人影響最大的地方,并因?yàn)?ldquo;Pengex”的傳播方式,再三提醒用戶(hù)盡量不要使用盜版系統(tǒng)盤(pán),以免中招。
“Pengex”不僅這樣“折騰用戶(hù)”,還使盡手段力圖搞掉對(duì)手。
火絨稱(chēng),“Pengex”會(huì)攻擊各種主流的殺毒軟件,包括火絨、360、金山等,導(dǎo)致這些軟件的驅(qū)動(dòng)無(wú)法加載,因此失去在內(nèi)核層對(duì)抗病毒的能力。
這個(gè)病毒的“作案動(dòng)機(jī)”是什么?
無(wú)非還是盈利。
雷鋒網(wǎng)了解到,“Pengex”通過(guò)修改瀏覽器配置和進(jìn)程啟動(dòng)參數(shù)兩種方式,來(lái)劫持首頁(yè)牟利,這也是馬剛此前提到,為什么該病毒會(huì)鎖定用戶(hù)首頁(yè)的原因。
在這個(gè)過(guò)程中,病毒還會(huì)按照制作者的計(jì)劃,將不同的瀏覽器指向不同的導(dǎo)航站。
不可思議的是,這個(gè)病毒十分霸道,懟天懟地懟對(duì)手外,連同類(lèi)病毒也不放過(guò)。
原來(lái),它攻擊同類(lèi)病毒是為了獨(dú)占用戶(hù)電腦首頁(yè)資源牟利。火絨稱(chēng),該病毒劫持首頁(yè)后設(shè)置的渠道號(hào)是“oemxiazaiba2”(“下載吧“的全拼),請(qǐng)各大導(dǎo)航站關(guān)注并查證這個(gè)渠道賬號(hào)。
不過(guò),你不要太過(guò)驚慌,畢竟這一類(lèi)病毒四處干架已經(jīng)是常態(tài)。
大家好,我是一個(gè)病毒,這次我想推個(gè)軟件,所以,呵呵,不好意思,我要來(lái)了。
跟老子搶首頁(yè),門(mén)都沒(méi)有!干掉這幫跟我搶首頁(yè)的病毒,也干掉這幫跟我搶首頁(yè)的殺軟!
不好意思,我就是看你殺軟不順眼,有我南霸天在的地方,你敢說(shuō)啥?不服,好,來(lái)!
馬剛稱(chēng),病毒推軟件,病毒搶首頁(yè),病毒干殺軟,病毒跟殺軟搶首頁(yè)……這些屬于常見(jiàn)攻擊,但此次惡意病毒不同的地方在于——這一位十分地兇悍,因?yàn)樵摬《就ㄟ^(guò)系統(tǒng)盤(pán)傳播,中招的人也不少。
雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng))了解到,目前火絨已經(jīng)更新病毒庫(kù),可以查殺該病毒。在第一時(shí)間通報(bào)后,馬剛認(rèn)為,其他殺軟應(yīng)該也會(huì)跟進(jìn)預(yù)防。
在判斷正在加載的映像是否屬于黑名單時(shí),病毒先常見(jiàn)的內(nèi)核級(jí)流量劫持病毒的文件名進(jìn)行匹配,如果文件名中包含 Mslmedia.sys 或者 mssafel.sys 則會(huì)禁止其執(zhí)行。之后,病毒會(huì)獲取當(dāng)前映像的簽名信息與黑名單中的簽名信息進(jìn)行匹配,如果包含則也會(huì)禁止其執(zhí)行。
黑名單中的簽名信息包括:火絨、360、金山、2345、瑞星、百度,甚至還包括 ADSafe 的簽名和病毒常用“上海域聯(lián)”簽名信息。
此外,火絨還提到,在該病毒的分析中,也有一份白名單,白名單如下:
以下為火絨發(fā)布的該病毒的部分分析:該病毒是一個(gè)內(nèi)核級(jí)后門(mén)病毒,初步懷疑該樣本主要通過(guò)第三方系統(tǒng)盤(pán)方式進(jìn)行傳播。該樣本在系統(tǒng)中運(yùn)行后,會(huì)造成國(guó)內(nèi)主流安全軟件驅(qū)動(dòng)程序無(wú)法正常加載,從而使安全軟件失去防御能力。該病毒主要對(duì)抗的安全廠商包括:火絨、360、金山等,其惡意代碼執(zhí)行之后,可以執(zhí)行遠(yuǎn)端 C&C 服務(wù)器存放的任意病毒代碼。
該病毒分為兩個(gè)部分,即病毒加載器和后門(mén)病毒, 下文中分為兩部分進(jìn)行詳細(xì)分析。病毒結(jié)構(gòu)如下圖所示:
病毒加載器該部分代碼主要用于對(duì)抗安全軟件查殺和進(jìn)行內(nèi)核對(duì)抗。加載器功能代碼分為兩個(gè)部分,先會(huì)在內(nèi)存中通過(guò)虛擬映射加載一個(gè)新的ntoskrnl鏡像,再通過(guò)相同的方式將真正的病毒驅(qū)動(dòng)加載到內(nèi)存中,并且將導(dǎo)入的ntoskrnl中的函數(shù)地址指向其虛擬加載的ntoskrnl鏡像中的函數(shù)地址上, 通過(guò)此方法可以繞過(guò)其他驅(qū)動(dòng)在ntoskrnl中設(shè)置的內(nèi)核鉤子。全局變量is_virus_load是一個(gè)標(biāo)記,通過(guò)傳入驅(qū)動(dòng)主函數(shù)中的RegistryPath參數(shù)是否為NULL判斷是否為病毒通過(guò)虛擬映射方式加載。如下圖所示:
加載器驅(qū)動(dòng)主函數(shù)代碼
內(nèi)核級(jí)后門(mén)該病毒執(zhí)行后,會(huì)不斷地與C&C服務(wù)器(域名:caoduba.com或139.129.234.76,通訊端口:7897)進(jìn)行通訊。病毒使用的域名和IP地址解密代碼,如下圖所示:
解密域名和IP地址