装机工具老毛桃携带木马病毒 卸载安全软件进行恶意推广

2024-04-22 17:21:27 浏览数 (1)

【快讯】

近期,火绒收到用户反馈,称在使用老毛桃U盘启动装机工具制作的PE系统后,原有系统中多款安全软件被无故删除。火绒工程师溯源发现,上述使用老毛桃制作的PE系统中被植入了病毒,当用户使用该PE系统时,即会执行病毒模块,删除包括火绒、360杀毒等安全软件在内的指定软件。为了避免用户受到该病毒侵扰,火绒最新版已对该装机工具进行拦截查杀。

分析发现,该病毒模块除了删除安全软件外,还会替换浏览器中的各类设置,包括书签、收藏夹、新标签页、历史记录等,并且向原系统中安装360安全套装、2345加速浏览器等软件。其中,360套装包括360安全卫士和360浏览器,且在被推广安装后会默认锁定用户浏览器首页。

此外,火绒工程师通过进一步溯源发现,“老毛桃”旗下所属公司其它制作PE系统的工具如“大白菜超级U盘装机工具”和“晨枫工作室U盘启动盘制作工具”等均被植入上述木马病毒,存在删除安全软件、替换浏览器设置等恶意行为。

一直以来,第三方装机工具就是病毒、流氓软件的聚集地,由此类工具制作成的PE系统具备较高的权限,能随意植入恶意程序执行推广、捆绑等行为,甚至可以对抗、卸载安全类软件,对此,火绒工程师建议大家谨慎使用此类装机工具,避免遭遇安全风险。

附:【分析报告】

一、详细分析

近日火绒收到用户反馈,在用户使用老毛桃U盘启动装机工具(www.laomaotao.net)制作的PE系统后,原有系统中安装的多款安全软件会被“无故”删除。除此之外,在用户使用PE系统重启后,系统中会被安装360安全套装、2345加速浏览器等软件,且浏览器书签、收藏夹等位置会出现多个推广链接。病毒执行流程,如下图所示:

病毒执行流程图

当用户使用老毛桃制作PE盘并进入PE系统后,PECMD.EXE加载PECMD.INI配置文件执行,从IntelRaid.sys中解压执行TaoSet.exe模块。相关行为,如下图所示:

解压并执行TaoSet模块

TaoSet模块会从资源节中解出Deploy模块并调用DeployGhostDelta导出函数。DeployGhostDelta函数会根据配置文件删除用户系统中的软件。影响的软件如下:

影响的软件列表

相关现象,如下图所示:

删除用户系统中的软件

删除操作相关配置数据,如下图所示:

配置文件

配置解析与删除文件操作相关代码,如下图所示:

读取配置

删除文件和注册表

TaoSet会将自身(重命名为随机名)以及压缩后的推广软件拷贝到用户系统的Windows目录下,并添加开机启动。当用户退出PE系统进入原来的系统时,TaoSet模块便会加载执行。相关现象,如下图所示:

开机启动执行

替换浏览器的各种设置:书签、收藏夹、新标签页、历史记录等,其中包含自身的链接或带有推广号的推广链接。

替换浏览器设置

影响的浏览器,如下图所示:

影响的浏览器

TaoSet模块除了上述行为外,还会推广软件。目前推广的软件有360安全浏览器、360安全卫士、2345加速浏览器、WPS2019和腾讯手游助手,且被推广的360安全卫士会默认锁定浏览器首页。安装推广软件在制作PE盘时可以取消,默认为勾选状态。

推广软件开关

二、 溯源分析

经过老毛桃的网站备案信息查询,老毛桃隶属于“东莞市互泰网络科技有限公司”。该公司旗下还有其他WinPE制作工具,如电脑店、大白菜装机工具等。经过分析发现,“大白菜超级U盘装机工具”和“晨枫工作室U盘启动盘制作工具”均带有此病毒。

旗下所有WinPE工具

三、 附录

病毒hash

0 人点赞