装机工具老毛桃携带木马病毒 卸载安全软件进行恶意推广
-
作者:火绒安全
-
发布时间:2020-09-01
-
阅读量:2089
【快讯】
近期,火绒收到用户反馈,称在使用老毛桃U盘启动装机工具制作的PE系统后,原有系统中多款安全软件被无故删除。火绒工程师溯源发现,上述使用老毛桃制作的PE系统中被植入了病毒,当用户使用该PE系统时,即会执行病毒模块,删除包括火绒、360杀毒等安全软件在内的指定软件。为了避免用户受到该病毒侵扰,火绒最新版已对该装机工具进行拦截查杀。
分析发现,该病毒模块除了删除安全软件外,还会替换浏览器中的各类设置,包括书签、收藏夹、新标签页、历史记录等,并且向原系统中安装360安全套装、2345加速浏览器等软件。其中,360套装包括360安全卫士和360浏览器,且在被推广安装后会默认锁定用户浏览器首页。
此外,火绒工程师通过进一步溯源发现,“老毛桃”所属旗下公司其它制作PE系统的工具如“大白菜超级U盘装机工具”和“晨枫工作室U盘启动盘制作工具”等均被植入上述木马病毒,存在删除安全软件、替换浏览器设置等恶意行为。
一直以来,第三方装机工具就是病毒、流氓软件的聚集地,由此类工具制作成的PE系统具备较高的权限,能随意植入恶意程序执行推广、捆绑等行为,甚至可以对抗、卸载安全类软件,对此,火绒工程师建议大家谨慎使用此类装机工具,避免遭遇安全风险。
附:【分析报告】
一、详细分析
近日火绒收到用户反馈,在用户使用老毛桃U盘启动装机工具(www.laomaotao.net)制作的PE系统后,原有系统中安装的多款安全软件会被“无故”删除。除此之外,在用户使用PE系统重启后,系统中会被安装360安全套装、2345加速浏览器等软件,且浏览器书签、收藏夹等位置会出现多个推广链接。病毒执行流程,如下图所示:
病毒执行流程图
当用户使用老毛桃制作PE盘并进入PE系统后,PECMD.EXE加载PECMD.INI配置文件执行,从IntelRaid.sys中解压执行TaoSet.exe模块。相关行为,如下图所示:
解压并执行TaoSet模块
TaoSet模块会从资源节中解出Deploy模块并调用DeployGhostDelta导出函数。DeployGhostDelta函数会根据配置文件删除用户系统中的软件。影响的软件如下:
影响的软件列表
相关现象,如下图所示:
删除用户系统中的软件
删除操作相关配置数据,如下图所示:
配置文件
配置解析与删除文件操作相关代码,如下图所示:
读取配置
删除文件和注册表
TaoSet会将自身(重命名为随机名)以及压缩后的推广软件拷贝到用户系统的Windows目录下,并添加开机启动。当用户退出PE系统进入原来的系统时,TaoSet模块便会加载执行。相关现象,如下图所示:
开机启动执行
替换浏览器的各种设置:书签、收藏夹、新标签页、历史记录等,其中包含自身的链接或带有推广号的推广链接。
替换浏览器设置
影响的浏览器,如下图所示:
影响的浏览器
TaoSet模块除了上述行为外,还会推广软件。目前推广的软件有360安全浏览器、360安全卫士、2345加速浏览器、WPS 2019和腾讯手游助手,且被推广的360安全卫士会默认锁定浏览器首页。安装推广软件在制作PE盘时可以取消,默认为勾选状态。
推广软件开关
二、溯源分析
经过老毛桃的网站备案信息查询,老毛桃隶属于“东莞市互泰网络科技有限公司”。该公司旗下还有其他WinPE制作工具,如电脑店、大白菜装机工具等。经过分析发现,“大白菜超级U盘装机工具”和“晨枫工作室U盘启动盘制作工具”均带有此病毒。
旗下所有WinPE工具
三、附录
病毒hash