惡性病毒 Pengex 懟天懟地懟對手，還懟同類病毒，正兇悍地攻擊各路殺軟

雷鋒網宅客頻道招人了！我們需要若干對網路安全、雲有興趣，具有探索精神，對黑客與白帽子文化有一定了解的作者（官方職位是編輯）加入「宅客頻道」報道團隊。如果你有一定文字功底，文風活潑就更好了！工作地點：北京。我們將提供給你的是：與各大安全公司、各路黑客大牛親密接觸的機會+與你的工作相匹配的薪水。簡歷投遞至：[email protected]。歡迎關注公眾號「宅客頻道」。

有一種病毒會繞著殺毒軟體走，做賊心虛，生怕殺軟發現自己。還有一類，卻大搖大擺，喜歡和殺軟正面剛，甚至主動挑釁對手。

今天要說的就是後者，這種不怕死的病毒。

7 月 6 日傍晚，雷鋒網注意到，火絨安全實驗室在其官方微信公眾號稱，其截獲到一種內核級後門病毒，並命名為「Pengex」病毒。經分析，「Pengex」以劫持用戶首頁流量牟利為目的，但是不同於其他「流量劫持」類病毒，「Pengex」 技術高明、手段兇狠，會主動攻擊國內主流的安全軟體，使他們失去內核對抗能力，這會讓電腦完全失去安全防護。火絨、360、金山、2345、瑞星、百度……都是它的攻擊對象。

火絨安全合夥創始人馬剛向雷鋒網強調，「Pengex」通過盜版系統盤和「註冊機」軟體進行傳播，可以各種鎖首頁，並在用戶電腦中留下後門，日後可隨時植入任意病毒和流氓軟體，威脅隱患極大。這也是對一般人影響最大的地方，並因為「Pengex」的傳播方式，再三提醒用戶盡量不要使用盜版系統盤，以免中招。

「Pengex」不僅這樣「折騰用戶」，還使盡手段力圖搞掉對手。

火絨稱，「Pengex」會攻擊各種主流的殺毒軟體，包括火絨、360、金山等，導致這些軟體的驅動無法載入，因此失去在內核層對抗病毒的能力。

這個病毒的「作案動機」是什麼？

無非還是盈利。

雷鋒網了解到，「Pengex」通過修改瀏覽器配置和進程啟動參數兩種方式，來劫持首頁牟利，這也是馬剛此前提到，為什麼該病毒會鎖定用戶首頁的原因。

在這個過程中，病毒還會按照製作者的計劃，將不同的瀏覽器指向不同的導航站。

不可思議的是，這個病毒十分霸道，懟天懟地懟對手外，連同類病毒也不放過。

原來，它攻擊同類病毒是為了獨佔用戶電腦首頁資源牟利。火絨稱，該病毒劫持首頁後設置的渠道號是「oemxiazaiba2」（「下載吧「的全拼），請各大導航站關注並查證這個渠道賬號。

不過，你不要太過驚慌，畢竟這一類病毒四處干架已經是常態。

• 大家好，我是一個病毒，這次我想推個軟體，所以，呵呵，不好意思，我要來了。

• 跟老子搶首頁，門都沒有！幹掉這幫跟我搶首頁的病毒，也幹掉這幫跟我搶首頁的殺軟！

• 不好意思，我就是看你殺軟不順眼，有我南霸天在的地方，你敢說啥？不服，好，來！

馬剛稱，病毒推軟體，病毒搶首頁，病毒干殺軟，病毒跟殺軟搶首頁……這些屬於常見攻擊，但此次惡意病毒不同的地方在於——這一位十分地兇悍，因為該病毒通過系統盤傳播，中招的人也不少。

雷鋒網了解到，目前火絨已經更新病毒庫，可以查殺該病毒。在第一時間通報后，馬剛認為，其他殺軟應該也會跟進預防。

在判斷正在載入的映像是否屬於黑名單時，病毒先常見的內核級流量劫持病毒的文件名進行匹配，如果文件名中包含 Mslmedia.sys 或者 mssafel.sys 則會禁止其執行。之後，病毒會獲取當前映像的簽名信息與黑名單中的簽名信息進行匹配，如果包含則也會禁止其執行。

黑名單中的簽名信息包括：火絨、360、金山、2345、瑞星、百度，甚至還包括 ADSafe 的簽名和病毒常用「上海域聯」簽名信息。

此外，火絨還提到，在該病毒的分析中，也有一份白名單，白名單如下：

該病毒是一個內核級後門病毒，初步懷疑該樣本主要通過第三方系統盤方式進行傳播。該樣本在系統中運行后，會造成國內主流安全軟體驅動程序無法正常載入，從而使安全軟體失去防禦能力。該病毒主要對抗的安全廠商包括：火絨、360、金山等，其惡意代碼執行之後，可以執行遠端C&C伺服器存放的任意病毒代碼。

該病毒分為兩個部分，即病毒載入器和後門病毒， 下文中分為兩部分進行詳細分析。病毒結構如下圖所示：

▲病毒整體結構圖

病毒載入器

該部分代碼主要用於對抗安全軟體查殺和進行內核對抗。載入器功能代碼分為兩個部分，先會在內存中通過虛擬映射載入一個新的ntoskrnl鏡像，再通過相同的方式將真正的病毒驅動載入到內存中，並且將導入的ntoskrnl中的函數地址指向其虛擬載入的ntoskrnl鏡像中的函數地址上， 通過此方法可以繞過其他驅動在ntoskrnl中設置的內核鉤子。全局變數is_virus_load是一個標記，通過傳入驅動主函數中的RegistryPath參數是否為NULL判斷是否為病毒通過虛擬映射方式載入。如下圖所示：

內核級後門

該病毒執行后，會不斷地與C&C伺服器（域名：caoduba.com或139.129.234.76，通訊埠：7897）進行通訊。病毒使用的域名和IP地址解密代碼，如下圖所示：

戳藍字查看更多精彩內容

探索篇

▼

真相篇

▼

人物篇

更多精彩正在整理中……

---

「喜歡就趕緊關注我們」

宅客『Letshome』

雷鋒網旗下業界報道公眾號。

專註先鋒科技領域，講述黑客背後的故事。

並識別關注