Quantcast

特朗普开铡鹰派 博尔顿出局内幕

新一线城市的房价开始失守

西北军军与聂教练相约酒店,网红见网红,干的漂亮

学长学姐干货总结|整整30门水课推荐,附推荐指数和课程详解

水云间渔乐村【2天1晚和3天2晚】休闲度假游

Facebook Twitter

分享到微信朋友圈

点击图标下载本文截图到手机
即可分享到朋友圈。如何使用?

查看原文

恶性病毒 Pengex 怼天怼地怼对手,还怼同类病毒,正凶悍地攻击各路杀软

2017-07-07 懵X的 宅客频道 宅客频道

雷锋网宅客频道招人了!我们需要若干对网络安全、云有兴趣,具有探索精神,对黑客与白帽子文化有一定了解的作者(官方职位是编辑)加入“宅客频道”报道团队。如果你有一定文字功底,文风活泼就更好了!工作地点:北京。我们将提供给你的是:与各大安全公司、各路黑客大牛亲密接触的机会+与你的工作相匹配的薪水。简历投递至:liqin@leiphone.com。欢迎关注公众号“宅客频道”。


有一种病毒会绕着杀毒软件走,做贼心虚,生怕杀软发现自己。还有一类,却大摇大摆,喜欢和杀软正面刚,甚至主动挑衅对手。

今天要说的就是后者,这种不怕死的病毒。

7 月 6 日傍晚,雷锋网注意到,火绒安全实验室在其官方微信公众号称,其截获到一种内核级后门病毒,并命名为“Pengex”病毒。经分析,“Pengex”以劫持用户首页流量牟利为目的,但是不同于其他“流量劫持”类病毒,“Pengex” 技术高明、手段凶狠,会主动攻击国内主流的安全软件,使他们失去内核对抗能力,这会让电脑完全失去安全防护。火绒、360、金山、2345、瑞星、百度……都是它的攻击对象。

火绒安全合伙创始人马刚向雷锋网强调,“Pengex”通过盗版系统盘和“注册机”软件进行传播,可以各种锁首页,并在用户电脑中留下后门,日后可随时植入任意病毒和流氓软件,威胁隐患极大。这也是对一般人影响最大的地方,并因为“Pengex”的传播方式,再三提醒用户尽量不要使用盗版系统盘,以免中招。

“Pengex”不仅这样“折腾用户”,还使尽手段力图搞掉对手。

火绒称,“Pengex”会攻击各种主流的杀毒软件,包括火绒、360、金山等,导致这些软件的驱动无法加载,因此失去在内核层对抗病毒的能力。

这个病毒的“作案动机”是什么?

无非还是盈利。

雷锋网了解到,“Pengex”通过修改浏览器配置和进程启动参数两种方式,来劫持首页牟利,这也是马刚此前提到,为什么该病毒会锁定用户首页的原因。

在这个过程中,病毒还会按照制作者的计划,将不同的浏览器指向不同的导航站。

不可思议的是,这个病毒十分霸道,怼天怼地怼对手外,连同类病毒也不放过。

原来,它攻击同类病毒是为了独占用户电脑首页资源牟利。火绒称,该病毒劫持首页后设置的渠道号是“oemxiazaiba2”(“下载吧“的全拼),请各大导航站关注并查证这个渠道账号。

不过,你不要太过惊慌,毕竟这一类病毒四处干架已经是常态。

  • 大家好,我是一个病毒,这次我想推个软件,所以,呵呵,不好意思,我要来了。

  • 跟老子抢首页,门都没有!干掉这帮跟我抢首页的病毒,也干掉这帮跟我抢首页的杀软!

  • 不好意思,我就是看你杀软不顺眼,有我南霸天在的地方,你敢说啥?不服,好,来!

马刚称,病毒推软件,病毒抢首页,病毒干杀软,病毒跟杀软抢首页……这些属于常见攻击,但此次恶意病毒不同的地方在于——这一位十分地凶悍,因为该病毒通过系统盘传播,中招的人也不少。

雷锋网了解到,目前火绒已经更新病毒库,可以查杀该病毒。在第一时间通报后,马刚认为,其他杀软应该也会跟进预防。

在判断正在加载的映像是否属于黑名单时,病毒先常见的内核级流量劫持病毒的文件名进行匹配,如果文件名中包含 Mslmedia.sys 或者 mssafel.sys 则会禁止其执行。之后,病毒会获取当前映像的签名信息与黑名单中的签名信息进行匹配,如果包含则也会禁止其执行。

黑名单中的签名信息包括:火绒、360、金山、2345、瑞星、百度,甚至还包括 ADSafe 的签名和病毒常用“上海域联”签名信息。

此外,火绒还提到,在该病毒的分析中,也有一份白名单,白名单如下:


以下为火绒发布的该病毒的部分分析:

该病毒是一个内核级后门病毒,初步怀疑该样本主要通过第三方系统盘方式进行传播。该样本在系统中运行后,会造成国内主流安全软件驱动程序无法正常加载,从而使安全软件失去防御能力。该病毒主要对抗的安全厂商包括:火绒、360、金山等,其恶意代码执行之后,可以执行远端C&C服务器存放的任意病毒代码。

该病毒分为两个部分,即病毒加载器和后门病毒, 下文中分为两部分进行详细分析。病毒结构如下图所示:                   

        

病毒整体结构图

病毒加载器

该部分代码主要用于对抗安全软件查杀和进行内核对抗。加载器功能代码分为两个部分,先会在内存中通过虚拟映射加载一个新的ntoskrnl镜像,再通过相同的方式将真正的病毒驱动加载到内存中,并且将导入的ntoskrnl中的函数地址指向其虚拟加载的ntoskrnl镜像中的函数地址上, 通过此方法可以绕过其他驱动在ntoskrnl中设置的内核钩子。全局变量is_virus_load是一个标记,通过传入驱动主函数中的RegistryPath参数是否为NULL判断是否为病毒通过虚拟映射方式加载。如下图所示:

加载器驱动主函数代码

内核级后门

该病毒执行后,会不断地与C&C服务器(域名:caoduba.com或139.129.234.76,通讯端口:7897)进行通讯。病毒使用的域名和IP地址解密代码,如下图所示:

解密域名和IP地址

蓝字查看更多精彩内容


探索篇

  暗网【上】|  暗网【下

草榴社区 女鉴黄师 | 以图搜图

心脏滴血 撞库攻击 | 潜行追踪

刷票 | 人肉 | 勒索 | 内鬼

超级欺骗系统


真相篇

战斗民族野生聊天 App

草榴社区这类色情网站为什么封不掉

什么样的漏洞买得起北京二环一套房?

上了个“假”黄网,误入了7亿黑产的大门

13岁小黑客自学一年挖到了微软、谷歌的漏洞

中学教材现黄色网站 人教社回应遭网友质疑

干货!top白帽子 Gr36_ 手把手教你挖漏洞

我们可以用“免疫系统”对抗黑客入侵吗?

这位叔叔要教勒索软件一些做人的道理

有个网站叫“我知道你下载了什么”

无线电攻击居然还能用来打飞机

“道哥”透露从业初心


人物篇


道哥:重回阿里的29个月

黑客老王:一个人的黑客史

吴石:站在0和1之间的男人

黑客衰大:45天攻入姑娘的心

黑客段子手“呆子不开口”

“特斯拉破解第一人”刘健皓

唐青昊:虚拟世界的越狱者

MOSEC:盘古团队的野心优雅

让周鸿祎“三顾茅庐” 的 黑客 MJ

美女黑客张婉桥的“爱丽丝奇遇记”

TK教主和玄武实验室的几个小故事

把老婆训练成女黑客的漏洞大神黄正

“真爱”黑客 Fooying 手把手教你追妹子


更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注


文章有问题?点此查看未经处理的缓存