欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

恶性病毒Pengex通过系统盘疯狂传播,攻击所有主流杀软却唯独放过腾讯

来源:本站整理 作者:佚名 时间:2017-07-10 TAG: 我要投稿

一、综述
近日,火绒安全实验室截获到一种内核级后门病毒,并将其命名为”Pengex”病毒。经分析,”Pengex”以劫持用户首页流量牟利为目的,但是不同于其他”流量劫持”类病毒的是,它技术高明、手段凶狠,会主动攻击国内主流的安全软件,使他们失去内核对抗能力,这会让电脑完全失去安全防护。诡异的是,Pengex唯独不攻击并且刻意”放过”腾讯电脑管家。
“Pengex”通过盗版系统盘和”注册机”软件进行传播,并在用户电脑中留下后门,日后可随时植入任意病毒,因此威胁隐患极大。”Pengex”会攻击各种主流的杀毒软件,包括火绒、360、金山等,导致这些软件的驱动无法加载,因此失去在内核层对抗病毒的能力。
但有意思的是,该病毒却唯独刻意放过了腾讯电脑管家,它将腾讯电脑管家加入白名单中,在进行”删除驱动回调”的操作时放过腾讯电脑管家。病毒的这种行为表明,该病毒团伙很可能是腾讯安全管家的系统盘渠道推广服务商,火绒建议”腾讯安全管家”彻查系统盘推广渠道。
“Pengex”通过修改浏览器配置和进程启动参数两种方式,来劫持首页牟利。在此过程中,病毒会按照制作者的计划,将不同的浏览器指向不同的导航站。该病毒不仅攻击安全软件,还会攻击其他同类病毒,以便独占用户电脑首页资源牟利。据分析,该病毒劫持首页后设置的渠道号是”oemxiazaiba2″(”下载吧”的全拼),请各大导航站关注并查证这个渠道账号。
“火绒安全软件”已经在第一时间更新病毒库,可彻底查杀该病毒。火绒工程师提醒广大用户,如需重装系统,务必通过正规渠道,购买正版系统,目前看来,盗版系统盘已经成为电脑病毒的重要传播渠道。
二、详细分析
该病毒是一个内核级后门病毒,初步怀疑该样本主要通过第三方系统盘方式进行传播。该样本在系统中运行后,会造成国内主流安全软件驱动程序无法正常加载,从而使安全软件失去防御能力。该病毒主要对抗的安全厂商包括:火绒、360、金山等,其恶意代码执行之后,可以执行远端C&C服务器存放的任意病毒代码。
该病毒分为两个部分,即病毒加载器和后门病毒,下文中分为两部分进行详细分析。病毒结构如下图所示:

病毒整体结构图
病毒加载器
该部分代码主要用于对抗安全软件查杀和进行内核对抗。加载器功能代码分为两个部分,先会在内存中通过虚拟映射加载一个新的ntoskrnl镜像,再通过相同的方式将真正的病毒驱动加载到内存中,并且将导入的ntoskrnl中的函数地址指向其虚拟加载的ntoskrnl镜像中的函数地址上,通过此方法可以绕过其他驱动在ntoskrnl中设置的内核钩子。全局变量is_virus_load是一个标记,通过传入驱动主函数中的RegistryPath参数是否为NULL判断是否为病毒通过虚拟映射方式加载。如下图所示:

加载器驱动主函数代码
(一)虚拟加载ntoskrnl
load_fake_ntoskrnl_safe函数会通过虚拟加载新的ntoskrnl镜像,在其执行完虚拟加载逻辑之后,会与当前内存中系统加载的ntoskrnl模块前0×200个字节数据进行比较,从而判断自己创建的ntoskrnl镜像内容是否正常。如下图所示:

检测虚拟加载是否成功

虚拟加载ntoskrnl
(二)虚拟加载后门病毒
load_rootkit函数会通过与虚拟映射ntoskrnl相同的方法加载真正的病毒驱动。病毒驱动的镜像数据是被异或0xC0加密过的,该函数首先会将病毒数据进行解密,之后对该驱动进行映射并修复导入表和重定位数据,最后通过调用ExQueueWorkItem函数执行病毒驱动入口。如下图所示:

加载病毒驱动
上图所示调用ExQueueWorkItem函数所传入的WORK_QUEUE_ITEM结构尾部带有附加数据,在上述调用中,附加数据存放有被加载驱动的入口点地址。如下图所示:

执行驱动入口
内核级后门
该病毒执行后,会不断地与C&C服务器(域名:caoduba.com或139.129.234.76,通讯端口:7897)进行通讯。病毒使用的域名和IP地址解密代码,如下图所示:

解密域名和IP地址
(一)病毒与C&C服务器通讯
病毒与C&C服务器的通讯内容分为两大类:
1)数据请求通知
服务器在获取到病毒请求数据的通知后,可以根据控制码返回被请求的数据。通过网络通讯,病毒可以进行远程驱动模块加载、获取远程动态库注入系统进程、获取配置数据进行流量劫持。控制码含义,如下图所示:

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载