中文版 Global
首页 > 安全资讯 > 正文

警惕! “会骂人”的陈年老虫宝刀未老, 受害者数据丢失永不可逆!

  • 2026-01-20 17:39:10

事件概述

在网络安全领域,并非只有新病毒木马、0day漏洞才能掀起波澜。老牌蠕虫凭借着强大的自我复制与传播能力,在其诞生多年后依然在网络中保持着顽强的生命力甚至还能时不时地搞出一些“大动静”。近期,我们就接到了多起关于一款名为“Penetrator”的陈年老虫的感染反馈。这些反馈的用户也有一个共同的特点——均未安装使用360终端安全产品

 

Penetrator是一款针对Windows系统的蠕虫,以极具破坏性的数据擦除能力而闻名。它不仅能通过电子邮件、即时通讯工具以及各类可移动存储设备(如U盘)进行疯狂扩散,更严重的是会对受害设备中的重要文档和媒体文件进行精准打击。虽然是破坏文件内容,但其却并非现在常见的加密勒索,而是直接使用辱骂性的文本或图片覆盖原文件内容。这种“不可逆”的破坏性操作直接导致用户数据永久性丢失。

该蠕虫的传播及破坏示意图如下

  

行为分析

为了帮助广大用户有效防范这一持续威胁,我们对其进行了技术分析。

文件破坏与数据擦除

这也是该蠕虫最危险的功能。它会遍历除系统目录外的所有驱动器,查找特定后缀的文件并进行破坏。其扫描的目标文件类型主要包括文档、音频、视频、压缩包等。具体来说,Penetrator会扫描磁盘中如下格式的文件进行破坏(含大小写区分):

Penetrator还会根据不同的文档类型,执行不同的破坏逻辑。

l文档文件
使用一段包含“Penetrator”签名和辱骂性语言的文本完全覆盖原文件内容。

l媒体文件
如果文件大于特定大小,则替换为内嵌的图片资源。

该逻辑的具体代码如下:

 

而上图代码中内置的这段俄语翻译过来大致意思如下(内容过于污秽,即便截图也必须对其中一些部分进行打码处理):

 

安全分析人员在对蠕虫进行测试时,就可以见到测试环境中的Word文档被破坏。该文档被破坏前后的内容对比如下:

 

这也导致被覆盖式破坏后文档的内容及格式均发生了不可逆的变化。

 

而如果被破坏的文件为图片文件,则会直接被替换为Penetrator字样的图片。图片如下:

 

安全软件对抗与隐藏

除了破坏文档外,Penetrator蠕虫还会尝试干扰一些常见的安全软件。具体手段是持续扫描设备中的所有程序窗口并查找指定窗口标题(如NOD32、AVP、Outpost、RegEdit等)。一旦找到对应窗口,便尝试将其关闭或移出屏幕,这也是病毒木马的惯用伎俩。具体代码如下:

 

此外,其还会篡改系统设置。如修改文件夹选项,强制隐藏文件扩展名、不显示隐藏文件,来防止用户发现病毒实体。

持久化机制

Penetrator蠕虫会通过多种方式,确保在每次系统启动时,自身可以随系统自动运行。其中最主要的手段有如下几种:

l注册表启动项
Penetrator会将自身路径添加到注册表中的自启动项中:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

lWinlogon注入
同样是修改注册表键值:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
只不过这一注册表项,并非直接实现蠕虫的自启动,而是将自身注入系统进程Winlogon中。

l伪装为系统服务
将自身复制到系统目录,并命名为与系统服务名称相似的名称。如:lsass.exe、svhst.exe等。

相关代码如下:

  

传播途径

l即时通讯软件传播
蠕虫会监控特定的聊天窗口(如ICQ、Mail.ru Agent等)。一旦找到,便会通过模拟键盘输入的方式,发送包含恶意URL的消息。其代码如下:

 

l电子邮件传播
蠕虫会搜集系统信息,再利用CDO组件连接SMTP服务器并发送垃圾邮件:

 

lUSB/可移动设备传播
Penetrator会检测新接入设备的各类驱动器(甚至会通过刻录机对可写光盘内容进行修改),并将自身复制到根目录并创建 autorun.inf 文件,以实现双击时自动运行:

 

在安全人员测试时,也记录到了写入光盘的真实操作:

 

 

安全防护与建议

360的广大用户无需过于担心,安全大脑可有效拦截该蠕虫的运行。

 

而鉴于Penetrator蠕虫极强的传播能力和破坏性,我们建议采取以下防御措施,以保护个人及企业数据安全:

1. 严格管控移动介质

l禁用自动播放
立即关闭Windows系统的U盘自动运行/自动播放功能,防止蠕虫在插入设备瞬间启动。

l先扫描后使用
任何外来U盘/移动硬盘在打开前,必须经过专业杀毒软件的深度扫描。

2. 强化文件备份机制(核心防御)

l遵循3-2-1原则
鉴于该病毒会直接覆盖物理文件,离线备份是最后的防线。确保至少有一份重要数据,存储在不连接网络的物理介质或冷存储中。

3. 提升邮件与通讯警惕性

l警惕陌生附件
即使是熟人发来的即时消息或邮件,若包含可疑链接或带有.exe、.scr、.vbs等后缀的附件,切勿轻易点击。

l核实发送来源
蠕虫常会伪装成受感染好友的身份发送传播载体。

4. 系统与防护软件维护

l安装安全防护软件
确保安全软件处于开启状态,并及时更新病毒库。类似Penetrator这类颇为古老的蠕虫的行为特征,是较为容易被现代安全软件的智能引擎捕获并识别的。

l显示隐藏扩展名
在文件夹选项中取消“隐藏已知文件类型的扩展名”,让伪装成图标的文件(如“照片.jpg.exe”这类文件名)无所遁形。

5. 如不幸中招,可尝试使用数据恢复软件恢复。

IOCs

SHA256

2700e0562dc5d7c68e0ee1e9326050c605376a42c8eb4c44a9194d14d626fe47

网络特征

字符串特征

lPenetrator

lMY ICQ: 402974020

lcode by {HERETIC}

360安全卫士

热点排行

用户
反馈 返回
顶部