火绒安全软件

火绒安全播报
发新帖
打印 上一主题 下一主题

[分析报告] 装机工具老毛桃携带木马病毒 卸载安全软件进行恶意推广

  [复制链接]
45300 70
楼主
发表于 2020-9-1 19:01:33 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
跳转到指定楼层
【快讯】
近期,火绒收到用户反馈,称在使用老毛桃U盘启动装机工具制作的PE系统后,原有系统中多款安全软件被无故删除。火绒工程师溯源发现,上述使用老毛桃制作的PE系统中被植入了病毒,当用户使用该PE系统时,即会执行病毒模块,删除包括火绒、360杀毒等安全软件在内的指定软件。为了避免用户受到该病毒侵扰,火绒最新版已对该装机工具进行拦截查杀。


分析发现,该病毒模块除了删除安全软件外,还会替换浏览器中的各类设置,包括书签、收藏夹、新标签页、历史记录等,并且向原系统中安装360安全套装、2345加速浏览器等软件。其中,360套装包括360安全卫士和360浏览器,且在被推广安装后会默认锁定用户浏览器首页。


此外,火绒工程师通过进一步溯源发现,“老毛桃”所属旗下公司其它制作PE系统的工具如“大白菜超级U盘装机工具”和“晨枫工作室U盘启动盘制作工具”等均被植入上述木马病毒,存在删除安全软件、替换浏览器设置等恶意行为。

一直以来,第三方装机工具就是病毒、流氓软件的聚集地,由此类工具制作成的PE系统具备较高的权限,能随意植入恶意程序执行推广、捆绑等行为,甚至可以对抗、卸载安全类软件,对此,火绒工程师建议大家谨慎使用此类装机工具,避免遭遇安全风险。

附:【分析报告】

一、        详细分析
近日火绒收到用户反馈,在用户使用老毛桃U盘启动装机工具(www.laomaotao.net)制作的PE系统后,原有系统中安装的多款安全软件会被“无故”删除。除此之外,在用户使用PE系统重启后,系统中会被安装360安全套装、2345加速浏览器等软件,且浏览器书签、收藏夹等位置会出现多个推广链接。病毒执行流程,如下图所示:


病毒执行流程图

当用户使用老毛桃制作PE盘并进入PE系统后,PECMD.EXE加载PECMD.INI配置文件执行,从IntelRaid.sys中解压执行TaoSet.exe模块。相关行为,如下图所示:

解压并执行TaoSet模块

TaoSet模块会从资源节中解出Deploy模块并调用DeployGhostDelta导出函数。DeployGhostDelta函数会根据配置文件删除用户系统中的软件。影响的软件如下:

影响的软件列表

相关现象,如下图所示:

删除用户系统中的软件

删除操作相关配置数据,如下图所示:

配置文件

配置解析与删除文件操作相关代码,如下图所示:

读取配置
删除文件和注册表

TaoSet会将自身(重命名为随机名)以及压缩后的推广软件拷贝到用户系统的Windows目录下,并添加开机启动。当用户退出PE系统进入原来的系统时,TaoSet模块便会加载执行。相关现象,如下图所示:

开机启动执行

替换浏览器的各种设置:书签、收藏夹、新标签页、历史记录等,其中包含自身的链接或带有推广号的推广链接。

替换浏览器设置

影响的浏览器,如下图所示:

影响的浏览器

TaoSet模块除了上述行为外,还会推广软件。目前推广的软件有360安全浏览器、360安全卫士、2345加速浏览器、WPS 2019和腾讯手游助手,且被推广的360安全卫士会默认锁定浏览器首页。安装推广软件在制作PE盘时可以取消,默认为勾选状态。

推广软件开关

二、        溯源分析
经过老毛桃的网站备案信息查询,老毛桃隶属于“东莞市互泰网络科技有限公司”。该公司旗下还有其他WinPE制作工具,如电脑店、大白菜装机工具等。经过分析发现,“大白菜超级U盘装机工具”和“晨枫工作室U盘启动盘制作工具”均带有此病毒。

旗下所有WinPE工具

三、        附录
病毒hash



评分

参与人数 1金钱 +5 收起 理由
RandolphNiu + 5 不明觉厉!!

查看全部评分

回复

使用道具 举报

45300 70
沙发
发表于 2020-9-1 21:06:26 | 只看该作者
还是rufus好用,只有1点多MB,便携

点评

下载了没看懂怎么使用,你写个使用说明吧 谢谢  发表于 2020-9-22 01:05
头次看到这个软件,以为你在开玩笑。 看软件名字 是舒服死 。 抱着试试搜了一下还真有这个软件。。下载试试 谢谢你提示^_^  发表于 2020-9-22 00:59
回复

使用道具 举报

45300 70
板凳
发表于 2020-9-1 23:01:44 | 只看该作者
微PE最好
回复

使用道具 举报

45300 70
地板
发表于 2020-9-2 00:20:49 | 只看该作者
0202年了 不会还有人用吧 不会吧不会吧
回复

使用道具 举报

45300 70
5#
发表于 2020-9-2 11:40:14 | 只看该作者
之前的装机工具,现在沦为病毒肆虐地
回复

使用道具 举报

45300 70
6#
发表于 2020-9-2 12:40:06 来自手机 | 只看该作者
还是用微pe吧。
回复

使用道具 举报

45300 70
7#
发表于 2020-9-2 13:06:19 | 只看该作者
电脑店的PE里面没有发现病毒吗?替换浏览器的各种设置也是一样存在
回复

使用道具 举报

45300 70
8#
发表于 2020-9-2 15:34:17 | 只看该作者
本帖最后由 野生君 于 2020-9-2 15:35 编辑

1、我用的u深度  不知道有问题 ,我需要更换吗?
2、有其他不带病毒的PE程序吗?
3、话说现在装系统都用什么方法啊?
4、必须得进入pe吗?
5、说有个软碟通也是装系统的用他替换老毛桃不行吗?

点评

你看看这里 参考一下,不知谁问的 https://zhidao.baidu.com/question/1736675232684208627.html  发表于 2020-9-23 00:22
软碟通装系统是可以的,而且装的系统比较好不易出错。但前提系统可以正常进入或不卡机  发表于 2020-9-22 01:27
回复

使用道具 举报

45300 70
9#
发表于 2020-9-2 19:23:18 | 只看该作者
野生君 发表于 2020-9-2 15:34
1、我用的u深度  不知道有问题 ,我需要更换吗?
2、有其他不带病毒的PE程序吗?
3、话说现在装系统都用什 ...

有微pe或者优启通 ,系统就吻妻或者自己封装
回复

使用道具 举报

45300 70
10#
发表于 2020-9-3 09:13:06 | 只看该作者
2034975548 发表于 2020-9-2 19:23
有微pe或者优启通 ,系统就吻妻或者自己封装

微pe或者优启通 哪个更好 我应该用哪个啊 功能多点的
回复

使用道具 举报

45300 70
11#
发表于 2020-9-3 10:59:24 | 只看该作者
野生君 发表于 2020-9-3 09:13
微pe或者优启通 哪个更好 我应该用哪个啊 功能多点的

优启通功能更多点 不过好像会释放2345全家桶的样子...
微PE?你可以用这个MOD版 实测无毒 https://bbs.kafan.cn/thread-2185197-1-1.html

点评

要是释放2345 坚决不用  发表于 2020-9-4 14:10
回复

使用道具 举报

45300 70
12#
发表于 2020-9-3 16:07:48 | 只看该作者
学会了,这就卸载老毛桃
回复

使用道具 举报

45300 70
13#
发表于 2020-9-4 14:48:05 | 只看该作者
本帖最后由 野生君 于 2020-9-4 14:49 编辑

啥情况 制作完成后 咋报错了  我试试了好几遍。
回复

使用道具 举报

45300 70
14#
发表于 2020-9-4 19:07:02 | 只看该作者
微pe和优启通那个好?
回复

使用道具 举报

45300 70
15#
发表于 2020-9-5 09:30:39 | 只看该作者
tnti 发表于 2020-9-3 10:59
优启通功能更多点 不过好像会释放2345全家桶的样子...
微PE?你可以用这个MOD版 实测无毒 https://bbs.ka ...

官方优启通和微pe都很干净,无捆绑的
除非你下到了盗版……
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表