全网警惕“喷子蠕虫”Penetrator：不勒索只辱骂，用覆盖攻击永久销毁文件！

在安全领域，能够引发重大威胁的并非只有新型病毒、木马或0day漏洞。一些“老牌”蠕虫凭借其强大的自我复制与传播能力，在诞生多年后仍持续活跃于网络空间，并不时掀起新的风浪。近期，360数字安全集团就连续监测到多起感染反馈，涉及一款名为“Penetrator”的陈旧蠕虫。

Penetrator是一款针对Windows系统的蠕虫，以极具破坏性的数据擦除能力著称。其不仅通过电子邮件、即时通讯工具及U盘等可移动存储设备大肆传播，更会对受感染设备中的重要文档、媒体等文件实施精准破坏。与当前常见的加密勒索方式不同，该蠕虫并不加密文件，而是直接使用辱骂性文本或图片覆盖原始内容。由于这种操作不可逆转，直接导致用户数据永久丢失。

文件破坏与数据擦除是该蠕虫最具危害性的功能，其会遍历除系统目录外的所有驱动器，并针对特定后缀的文件进行精准破坏，主要目标包括文档、音频、视频、压缩包等多种常见格式。尤为值得注意的是，Penetrator 会根据文件类型执行不同的破坏逻辑：

文档文件：直接使用一段包含“Penetrator”签名及辱骂性文字的文本完全覆盖原内容；

媒体文件：若文件大小超过设定阈值，则将其替换为内置的图片资源。

在实际测试中，360安全智能体蜂群发现该蠕虫对Word文档的破坏效果尤为明显：文档被覆盖后，其内容与格式均发生不可逆的改变。同样，若目标为图片文件，则会被直接替换为带有“Penetrator”字样的图片，导致原始数据永久丢失。

除了破坏文件，Penetrator蠕虫还会主动干扰一些常见安全软件的运行。它会持续扫描系统中的所有程序窗口，匹配如 NOD32、AVP、Outpost、RegEdit 等指定窗口标题，一旦发现便尝试强行关闭或将窗口移出屏幕，以此阻碍用户进行安全管理和分析，这也是病毒木马的惯用伎俩。

此外，其还会篡改系统设置。如修改文件夹选项，强制隐藏文件扩展名、不显示隐藏文件，来防止用户发现病毒实体。

为了在系统中长期驻留，Penetrator会采用多种手段实现持久化，确保在每次开机时都能自动运行，其中最主要的手段有如下几种：

1

注册表启动项

Penetrator会将自身路径写入注册表中的自启动项中：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。

2

Winlogon注入

通过修改注册表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 的键值，将自身注入到系统关键进程Winlogon中。

3

伪装系统服务

将副本复制到系统目录，并伪装成与系统服务相似的名称（例如 lsass.exe、svhst.exe），以此混淆视听，逃避查杀。

在传播方面，Penetrator蠕虫具备多渠道、主动传播的能力，主要通过以下三种途径扩散：

1

利用即时通讯软件传播

持续监控特定的聊天窗口（如 ICQ、Mail.ru Agent 等）。一旦发现对应窗口，便通过模拟键盘输入的方式，自动发送包含恶意URL的消息。

2

通过电子邮件传播

暗中搜集系统信息，并利用CDO组件连接SMTP服务器，大量发送垃圾邮件，以此扩大感染范围。

3

通过USB等可移动设备传播

检测新接入的可移动存储设备，甚至会对可写光盘进行刻录修改，并将自身复制到根目录并创建 autorun.inf 文件，以实现双击时自动运行。

这些传播手段相互配合，使得该蠕虫能在网络与物理介质间持续扩散，形成顽固的感染链。

针对此类威胁，360安全智能体蜂群依托云端安全大数据与实时防护体系，目前已率先具备完备的防御能力，无需额外升级即可获得全面保护；

同时，360安全智能体蜂群将持续监测相关攻击活动，第一时间发布安全预警与防护建议，建议广大政企用户尽快完成全域部署，构筑安全防线。

作为数字安全的领导者，360数字安全集团基于过去20年积累的安全大数据、实战对抗经验，以及全球顶级安全专家团队等优势能力，创新构建出依托安全大模型赋能的“安全智能体蜂群”体系。

该体系将安全专家能力和经验进行固化，集成终端防勒索、钓鱼邮件检测、终端病毒查杀等数十类垂直安全智能体。通过安全智能体的协同调度，该体系可以完成自动化、毫秒级的威胁识别与处置，助力广大政企机构构建AI时代下面向各类威胁的全生命周期防护能力。

如需咨询相关服务

请联系电话

400-0309-360



来源：360数字安全