近日，360安全大腦獨家發現了一種新型感染型病毒Peviru，先潛伏在中文程式語言編譯環境，並上演了一回供應鏈感染，從源頭下手全網撒毒。經360安全大腦分析發現，由於Peviru病毒自帶感染性，導致使用者編譯的所有程式都意外感染攜帶該病毒，最終以點破面全網呈現井噴式擴散，對整個網路壞境造成不可估量的影響。

現階段，360安全大腦已獨家追蹤到Peviru病毒的幕後團伙，並根據其C2伺服器中多次出現“oldpanther”一詞的特徵，將該駭客團伙命名為“老豹”。目前，360安全衛士支援該病毒的清除與攔截查殺，廣大使用者可及時下載安裝360安全衛士抵禦威脅。

盯上程式語言源頭放毒

汙染供應鏈再現XcodeGhost事件

此次，自帶感染性的Peviru病毒，潛藏在中文程式語言安裝程式和其他相關模組流竄全網。而為了提高病毒感染率，幕後駭客團伙更直接將帶毒的安裝程式，釋出在與該程式語言相關的多個主流論壇，魚目混珠汙染程式語言的整個供應鏈。

眾所周知，技術論壇不僅是愛好者交流學習的地方，更是程式設計使用者分享安裝程式的地方，這就給病毒留下了可乘之機。總體來看，感染型病毒Peviru的泛濫，與15年打破AppStore封閉安全神話的XcodeGhost病毒事件頗為相似，都是從源頭下手，汙染整個供應鏈，最終殃及全網全平臺。

（釋出在某程式設計學院論壇的三款帶毒程式）

不只汙染程式語言靜態編譯壞境

釋放遠控木馬持續荼毒

從360安全大腦監測到的資料來看，Peviru作為一種全新型的感染型病毒，主要會感染正常的PE檔案，以及該程式語言的靜態編譯壞境。這就意味著，中招使用者編譯的所有程式都將成為“帶毒”且具有感染性的程式，極大地提升了Peviru的傳播速度。以下是該病毒接收五個不同的引數，分別執行的感染邏輯：

在感染PE檔案過程中，Peviru會將惡意程式碼寫入可執行程式.reloc節，並將該節的屬性修改為可執行，修改程式的入口點，使其跳轉後執行病毒程式碼，執行結束後再次跳轉到程式的原始入口點執行正常的邏輯。

（感染Peviru病毒的程式結構及執行流程）

而感染中文程式語言靜態編譯壞境的情況，則是在引數為-link時，病毒會判斷當前系統是否安裝該程式語言，安裝則會篡改靜態編譯的配置檔案，從而劫持靜態編譯流程，在靜態編譯結束時呼叫obj.exe（引數為-in）感染編譯的新檔案：

相關的感染邏輯如下：

除上述情況外，當引數為ins時，還會下載大灰狼遠控和LimeRAT這兩款遠端控制軟體，以此達到進一步控制受害者裝置，部署遠控程式的目的。具體如下：

最新版的LimeRAT已經提供了以下多種強大的後門功能：

兩款高危遠控中，與LimeRAT相比，大灰狼遠控在國內更加流行，該遠控的原始碼也早已在國內外各大論壇流傳。此次，駭客團伙為了躲避查殺，使用了下圖多組白利用組合，並經過多層記憶體解密方式載入大灰狼遠控。

360安全大腦獨家追溯幕後老豹

全效清除修復已感染病毒

從技術分析中不難看出，該病毒幕後團伙蓄謀已久，而經過對Peviru病毒均出現的C2伺服器的分析，360安全大腦在該伺服器配置檔案中，找到了記錄幕後駭客團伙使用的各種駭客工具和開發的木馬病毒，配置檔案如下所示：

在這份列表中包含涵蓋windows/linux系統相關的網路掃描，埠爆破，內網穿透，流量轉發，提權，駐留，憑據提權相關的各種滲透測試工具，其中甚至還包括NSA洩漏的工具集，功能異常豐富。由於C2伺服器中多次出現“oldpanther”一詞，360安全大腦基於這一特徵，將該駭客團伙命名為“老豹”。從工具集來看，Peviru 病毒的幕後老豹（OldPanther）駭客組織，是一個擁有豐富滲透測試武器庫，擅長編寫病毒木馬，且熟悉各種攻擊手法，經驗老道的駭客組織。

最後，鑑於Peviru感染正常可執行程式的特性，在360安全大腦的極智賦能下，360安全衛士成功利用清除模式修復感染型病毒，並採用先進的AVE引擎技術，有效清除被感染程式體內的病毒程式碼，還原程式原有功能。不幸中招使用者，可使用360安全衛士清除該病毒。

為避免更多使用者中招，360安全大腦給出如下建議：

1、及時前往weishi.360.cn，下載安裝360安全衛士，強力查殺此類病毒；

2、對於安全軟體提示風險的程式，切勿輕易新增信任或退出殺軟執行；

3、使用360軟體管家下載軟體，360軟體管家收錄萬款正版軟體，經過360安全大腦白名單檢測，下載、安裝、升級，更安全。