警惕！ “會(huì)罵人”的陳年老蟲寶刀未老，受害者數(shù)據(jù)丟失永不可逆！

2026-01-20 17:39:10
我要分享


微信掃碼分享

事件概述

在網(wǎng)絡(luò)安全領(lǐng)域，并非只有新的病毒木馬、0day漏洞才能掀起波瀾。還有些老牌蠕蟲會(huì)憑借著強(qiáng)大的自我復(fù)制與傳播能力，在其誕生多年后依然在網(wǎng)絡(luò)中保持著頑強(qiáng)的生命力，甚至還能時(shí)不時(shí)地搞出一些“大動(dòng)靜”。近期，我們就接到了多起關(guān)于一款名為“Penetrator”的陳年老蟲的感染反饋。這些反饋的用戶也有一個(gè)共同的特點(diǎn)——均未安裝使用360終端安全產(chǎn)品。

Penetrator是一款針對(duì)Windows系統(tǒng)的蠕蟲，以極具破壞性的數(shù)據(jù)擦除能力而聞名。它不僅能通過電子郵件、即時(shí)通訊工具以及各類可移動(dòng)存儲(chǔ)設(shè)備（如U盤）進(jìn)行瘋狂擴(kuò)散，更嚴(yán)重的是，它還會(huì)對(duì)受害設(shè)備中的重要文檔和媒體文件進(jìn)行精準(zhǔn)打擊。雖然是破壞文件內(nèi)容，但其卻并非現(xiàn)在常見的加密勒索，而是直接使用辱罵性的文本或圖片覆蓋原文件內(nèi)容。這種“不可逆”的破壞性操作直接導(dǎo)致了用戶數(shù)據(jù)的永久性丟失。

該蠕蟲的傳播及破壞示意圖如下：

行為分析

為了幫助廣大用戶有效防范這一持續(xù)威脅，我們對(duì)其進(jìn)行了技術(shù)分析。

文件破壞與數(shù)據(jù)擦除

這也是該蠕蟲最危險(xiǎn)的功能。它會(huì)遍歷除系統(tǒng)目錄外的所有驅(qū)動(dòng)器，查找特定后綴的文件并進(jìn)行破壞。其掃描的目標(biāo)文件類型主要包括文檔、音頻、視頻、壓縮包等。具體來說，Penetrator會(huì)掃描磁盤中如下格式的文件進(jìn)行破壞（含大小寫區(qū)分）：

而Penetrator還會(huì)根據(jù)不同的文檔類型，執(zhí)行不同的破壞邏輯。

l文檔文件
使用一段包含“Penetrator”簽名和辱罵性語言的文本完全覆蓋原文件內(nèi)容。

l媒體文件
如果文件大于特定大小，則替換為內(nèi)嵌的圖片資源。

該邏輯的具體代碼如下：

而上圖代碼中內(nèi)置的這段俄語翻譯過來大致意思如下（內(nèi)容過于污穢，即便截圖也必須對(duì)其中一些部分進(jìn)行打碼處理）：

安全分析人員在對(duì)蠕蟲進(jìn)行測試時(shí)，就可以見到測試環(huán)境中的Word文檔被破壞。該文檔被破壞前后的內(nèi)容對(duì)比如下：

這也導(dǎo)致被覆蓋式破壞后文檔的內(nèi)容及格式均發(fā)生了不可逆的變化。

而如果被破壞的文件為圖片文件，則會(huì)直接被替換為Penetrator字樣的圖片。圖片如下：

安全軟件對(duì)抗與隱藏

除了破壞文檔外，Penetrator蠕蟲還會(huì)嘗試干擾一些常見的安全軟件。具體手段是持續(xù)掃描設(shè)備中的所有程序窗口并查找指定窗口標(biāo)題（如NOD32、AVP、Outpost、RegEdit等）。一旦找到對(duì)應(yīng)窗口，便嘗試將其關(guān)閉或移出屏幕，這也是病毒木馬的慣用伎倆。具體代碼如下：

此外，其還會(huì)篡改系統(tǒng)設(shè)置。如修改文件夾選項(xiàng)，強(qiáng)制隱藏文件擴(kuò)展名、不顯示隱藏文件，來防止用戶發(fā)現(xiàn)病毒實(shí)體。

持久化機(jī)制

Penetrator蠕蟲會(huì)通過多種方式，確保在每次系統(tǒng)啟動(dòng)時(shí)，自身可以隨系統(tǒng)自動(dòng)運(yùn)行。其中最主要的手段有如下幾種：

l注冊(cè)表啟動(dòng)項(xiàng)
Penetrator會(huì)將自身路徑添加到注冊(cè)表中的自啟動(dòng)項(xiàng)中：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

lWinlogon注入
同樣是修改注冊(cè)表鍵值：
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
只不過這一注冊(cè)表項(xiàng)，并非直接實(shí)現(xiàn)蠕蟲的自啟動(dòng)，而是將自身注入系統(tǒng)進(jìn)程Winlogon中。

l偽裝為系統(tǒng)服務(wù)
將自身復(fù)制到系統(tǒng)目錄，并命名為與系統(tǒng)服務(wù)名稱相似的名稱。如：lsass.exe、svhst.exe等。

相關(guān)代碼如下：

傳播途徑

l即時(shí)通訊軟件傳播
蠕蟲會(huì)監(jiān)控特定的聊天窗口（如ICQ、Mail.ru Agent等）。一旦找到，便會(huì)通過模擬鍵盤輸入的方式，發(fā)送包含惡意URL的消息。其代碼如下：

l電子郵件傳播
蠕蟲會(huì)搜集系統(tǒng)信息，再利用CDO組件連接SMTP服務(wù)器并發(fā)送垃圾郵件：

lUSB/可移動(dòng)設(shè)備傳播
Penetrator會(huì)檢測新接入設(shè)備的各類驅(qū)動(dòng)器（甚至?xí)ㄟ^刻錄機(jī)對(duì)可寫光盤內(nèi)容進(jìn)行修改），并將自身復(fù)制到根目錄并創(chuàng)建?autorun.inf?文件，以實(shí)現(xiàn)雙擊時(shí)自動(dòng)運(yùn)行：

在安全人員測試時(shí)，也記錄到了寫入光盤的真實(shí)操作：

安全防護(hù)與建議

360的廣大用戶無需過于擔(dān)心，安全大腦可有效攔截該蠕蟲的運(yùn)行。

而鑒于Penetrator蠕蟲極強(qiáng)的傳播能力和破壞性，我們建議采取以下防御措施，以保護(hù)個(gè)人及企業(yè)數(shù)據(jù)安全：

1.?嚴(yán)格管控移動(dòng)介質(zhì)

l禁用自動(dòng)播放
立即關(guān)閉Windows系統(tǒng)的U盤自動(dòng)運(yùn)行/自動(dòng)播放功能，防止蠕蟲在插入設(shè)備瞬間啟動(dòng)。

l先掃描后使用
任何外來U盤/移動(dòng)硬盤在打開前，必須經(jīng)過專業(yè)殺毒軟件的深度掃描。

2.?強(qiáng)化文件備份機(jī)制（核心防御）

l遵循3-2-1原則
鑒于該病毒會(huì)直接覆蓋物理文件，離線備份是最后的防線。確保至少有一份重要數(shù)據(jù)，存儲(chǔ)在不連接網(wǎng)絡(luò)的物理介質(zhì)或冷存儲(chǔ)中。

3.?提升郵件與通訊警惕性

l警惕陌生附件
即使是熟人發(fā)來的即時(shí)消息或郵件，若包含可疑鏈接或帶有.exe、.scr、.vbs等后綴的附件，切勿輕易點(diǎn)擊。

l核實(shí)發(fā)送來源
蠕蟲常會(huì)偽裝成受感染好友的身份發(fā)送傳播載體。

4.?系統(tǒng)與防護(hù)軟件維護(hù)

l安裝安全防護(hù)軟件
確保安全軟件處于開啟狀態(tài)，并及時(shí)更新病毒庫。類似Penetrator這類頗為古老的蠕蟲的行為特征，是較為容易被現(xiàn)代安全軟件的智能引擎捕獲并識(shí)別的。

l顯示隱藏?cái)U(kuò)展名
在文件夾選項(xiàng)中取消“隱藏已知文件類型的擴(kuò)展名”，讓偽裝成圖標(biāo)的文件（如“照片.jpg.exe”這類文件名）無所遁形。

5.?如不幸中招，可嘗試使用數(shù)據(jù)恢復(fù)軟件恢復(fù)。

IOCs

SHA256

2700e0562dc5d7c68e0ee1e9326050c605376a42c8eb4c44a9194d14d626fe47

網(wǎng)絡(luò)特征

字符串特征

lPenetrator

lMY ICQ: 402974020

lcode by {HERETIC}

熱點(diǎn)排行

警惕！ “會(huì)罵人”的陳年老蟲寶刀未老， 受害者數(shù)據(jù)丟失永不可逆！

熱點(diǎn)排行

關(guān)注我們

警惕！ “會(huì)罵人”的陳年老蟲寶刀未老，受害者數(shù)據(jù)丟失永不可逆！