一、綜述 
近日，火絨安全實驗室截獲到一種內核級后門病毒，并將其命名為”Pengex”病毒。經分析，”Pengex”以劫持用戶首頁流量牟利為目的，但是不同于其他”流量劫持”類病毒的是，它技術高明、手段兇狠，會主動攻擊國內主流的安全軟件，使他們失去內核對抗能力，這會讓電腦完全失去安全防護。詭異的是，Pengex唯獨不攻擊并且刻意”放過”騰訊電腦管家。
“Pengex”通過盜版系統盤和”注冊機”軟件進行傳播，并在用戶電腦中留下后門，日后可隨時植入任意病毒，因此威脅隱患極大。”Pengex”會攻擊各種主流的殺毒軟件，包括火絨、360、金山等，導致這些軟件的驅動無法加載，因此失去在內核層對抗病毒的能力。
但有意思的是，該病毒卻唯獨刻意放過了騰訊電腦管家，它將騰訊電腦管家加入白名單中，在進行”刪除驅動回調”的操作時放過騰訊電腦管家。病毒的這種行為表明，該病毒團伙很可能是騰訊安全管家的系統盤渠道推廣服務商，火絨建議”騰訊安全管家”徹查系統盤推廣渠道。
“Pengex”通過修改瀏覽器配置和進程啟動參數兩種方式，來劫持首頁牟利。在此過程中，病毒會按照制作者的計劃，將不同的瀏覽器指向不同的導航站。該病毒不僅攻擊安全軟件，還會攻擊其他同類病毒，以便獨占用戶電腦首頁資源牟利。據分析，該病毒劫持首頁后設置的渠道號是”oemxiazaiba2″（”下載吧”的全拼），請各大導航站關注并查證這個渠道賬號。
“火絨安全軟件”已經在第一時間更新病毒庫，可徹底查殺該病毒。火絨工程師提醒廣大用戶，如需重裝系統，務必通過正規渠道，購買正版系統，目前看來，盜版系統盤已經成為電腦病毒的重要傳播渠道。
二、詳細分析
該病毒是一個內核級后門病毒，初步懷疑該樣本主要通過第三方系統盤方式進行傳播。該樣本在系統中運行后，會造成國內主流安全軟件驅動程序無法正常加載，從而使安全軟件失去防御能力。該病毒主要對抗的安全廠商包括：火絨、360、金山等，其惡意代碼執行之后，可以執行遠端C&C服務器存放的任意病毒代碼。
該病毒分為兩個部分，即病毒加載器和后門病毒，下文中分為兩部分進行詳細分析。病毒結構如下圖所示：

病毒整體結構圖
病毒加載器
該部分代碼主要用于對抗安全軟件查殺和進行內核對抗。加載器功能代碼分為兩個部分，先會在內存中通過虛擬映射加載一個新的ntoskrnl鏡像，再通過相同的方式將真正的病毒驅動加載到內存中，并且將導入的ntoskrnl中的函數地址指向其虛擬加載的ntoskrnl鏡像中的函數地址上，通過此方法可以繞過其他驅動在ntoskrnl中設置的內核鉤子。全局變量is_virus_load是一個標記，通過傳入驅動主函數中的RegistryPath參數是否為NULL判斷是否為病毒通過虛擬映射方式加載。如下圖所示：

加載器驅動主函數代碼
(一)虛擬加載ntoskrnl
load_fake_ntoskrnl_safe函數會通過虛擬加載新的ntoskrnl鏡像，在其執行完虛擬加載邏輯之后，會與當前內存中系統加載的ntoskrnl模塊前0×200個字節數據進行比較，從而判斷自己創建的ntoskrnl鏡像內容是否正常。如下圖所示：

檢測虛擬加載是否成功

虛擬加載ntoskrnl
(二)虛擬加載后門病毒
load_rootkit函數會通過與虛擬映射ntoskrnl相同的方法加載真正的病毒驅動。病毒驅動的鏡像數據是被異或0xC0加密過的，該函數首先會將病毒數據進行解密，之后對該驅動進行映射并修復導入表和重定位數據，最后通過調用ExQueueWorkItem函數執行病毒驅動入口。如下圖所示：

加載病毒驅動
上圖所示調用ExQueueWorkItem函數所傳入的WORK_QUEUE_ITEM結構尾部帶有附加數據，在上述調用中，附加數據存放有被加載驅動的入口點地址。如下圖所示：

執行驅動入口
內核級后門
該病毒執行后，會不斷地與C&C服務器（域名：caoduba.com或139.129.234.76，通訊端口：7897）進行通訊。病毒使用的域名和IP地址解密代碼，如下圖所示：

解密域名和IP地址
(一)病毒與C&C服務器通訊
病毒與C&C服務器的通訊內容分為兩大類：
1)數據請求通知
服務器在獲取到病毒請求數據的通知后，可以根據控制碼返回被請求的數據。通過網絡通訊，病毒可以進行遠程驅動模塊加載、獲取遠程動態庫注入系統進程、獲取配置數據進行流量劫持。控制碼含義，如下圖所示：