有一種病毒會繞着防毒軟體走,做賊心虛,生怕殺軟發現自己。還有一類,卻大搖大擺,喜歡和殺軟正面剛,甚至主動挑釁對手。
今天要說的就是後者,這種不怕死的病毒。
7 月 6 日傍晚,雷鋒網注意到,火絨安全實驗室在其官方微信公衆号稱,其截獲到一種核心級後門病毒,并命名為“pengex”病毒。經分析,“pengex”以劫持使用者首頁流量牟利為目的,但是不同于其他“流量劫持”類病毒,“pengex” 技術高明、手段兇狠,會主動攻擊國内主流的安全軟體,使他們失去核心對抗能力,這會讓電腦完全失去安全防護。火絨、360、金山、2345、瑞星、百度……都是它的攻擊對象。
火絨安全合夥創始人馬剛向雷鋒網(公衆号:雷鋒網)強調,“pengex”通過盜版系統盤和“注冊機”軟體進行傳播,可以各種鎖首頁,并在使用者電腦中留下後門,日後可随時植入任意病毒和流氓軟體,威脅隐患極大。這也是對一般人影響最大的地方,并因為“pengex”的傳播方式,再三提醒使用者盡量不要使用盜版系統盤,以免中招。
“pengex”不僅這樣“折騰使用者”,還使盡手段力圖搞掉對手。
火絨稱,“pengex”會攻擊各種主流的防毒軟體,包括火絨、360、金山等,導緻這些軟體的驅動無法加載,是以失去在核心層對抗病毒的能力。
這個病毒的“作案動機”是什麼?
無非還是盈利。
雷鋒網了解到,“pengex”通過修改浏覽器配置和程序啟動參數兩種方式,來劫持首頁牟利,這也是馬剛此前提到,為什麼該病毒會鎖定使用者首頁的原因。
在這個過程中,病毒還會按照制作者的計劃,将不同的浏覽器指向不同的導航站。
不可思議的是,這個病毒十分霸道,怼天怼地怼對手外,連同類病毒也不放過。
原來,它攻擊同類病毒是為了獨占使用者電腦首頁資源牟利。火絨稱,該病毒劫持首頁後設定的管道号是“oemxiazaiba2”(“下載下傳吧“的全拼),請各大導航站關注并查證這個管道賬号。
不過,你不要太過驚慌,畢竟這一類病毒四處幹架已經是常态。
大家好,我是一個病毒,這次我想推個軟體,是以,呵呵,不好意思,我要來了。 跟老子搶首頁,門都沒有!幹掉這幫跟我搶首頁的病毒,也幹掉這幫跟我搶首頁的殺軟! 不好意思,我就是看你殺軟不順眼,有我南霸天在的地方,你敢說啥?不服,好,來!
馬剛稱,病毒推軟體,病毒搶首頁,病毒幹殺軟,病毒跟殺軟搶首頁……這些屬于常見攻擊,但此次惡意病毒不同的地方在于——這一位十分地兇悍,因為該病毒通過系統盤傳播,中招的人也不少。
雷鋒網了解到,目前火絨已經更新病毒庫,可以清除該病毒。在第一時間通報後,馬剛認為,其他殺軟應該也會跟進預防。
在判斷正在加載的映像是否屬于黑名單時,病毒先常見的核心級流量劫持病毒的檔案名進行比對,如果檔案名中包含 mslmedia.sys 或者 mssafel.sys 則會禁止其執行。之後,病毒會擷取目前映像的簽名資訊與黑名單中的簽名資訊進行比對,如果包含則也會禁止其執行。
黑名單中的簽名資訊包括:火絨、360、金山、2345、瑞星、百度,甚至還包括 adsafe 的簽名和病毒常用“上海域聯”簽名資訊。
此外,火絨還提到,在該病毒的分析中,也有一份白名單,白名單如下:
該病毒是一個核心級後門病毒,初步懷疑該樣本主要通過第三方系統盤方式進行傳播。該樣本在系統中運作後,會 造成國内主流安全軟體驅動程式無法正常加載,進而使安全軟體失去防禦能力。該病毒主要對抗的安全廠商包括:火絨、360、金山等,其惡意代碼執行之後,可以執行遠端 c&c 伺服器存放的任意病毒代碼。
該病毒分為兩個部分,即病毒加載器和後門病毒, 下文中分為兩部分進行詳細分析。病毒結構如下圖所示:
該部分代碼主要用于對抗安全軟體清除和進行核心對抗。加載器功能代碼分為兩個部分,先會在記憶體中通過虛拟映射加載一個新的ntoskrnl鏡像,再通過相同的方式将真正的病毒驅動加載到記憶體中,并且将導入的ntoskrnl中的函數位址指向其虛拟加載的ntoskrnl鏡像中的函數位址上, 通過此方法可以繞過其他驅動在ntoskrnl中設定的核心鈎子。全局變量is_virus_load是一個标記,通過傳入驅動主函數中的registrypath參數是否為null判斷是否為病毒通過虛拟映射方式加載。如下圖所示:
加載器驅動主函數代碼
該病毒執行後,會不斷地與c&c伺服器(域名:caoduba.com或139.129.234.76,通訊端口:7897)進行通訊。病毒使用的域名和ip位址解密代碼,如下圖所示:
解密域名和ip位址