装机工具老毛桃携带木马病毒 卸载安全软件进行恶意推广

2020-09-02 20:47:53      浏览    作者:稿源:火绒安全

【快讯】

 

近期,火绒收到用户反馈,称在使用老毛桃U盘启动装机工具制作的PE系统后,原有系统中多款安全软件被无故删除。火绒工程师溯源发现,上述使用老毛桃制作的PE系统中被植入了病毒,当用户使用该PE系统时,即会执行病毒模块,删除包括火绒、360杀毒等安全软件在内的指定软件。为了避免用户受到该病毒侵扰,火绒最新版已对该装机工具进行拦截查杀。

 

 Image-4.png

 

分析发现,该病毒模块除了删除安全软件外,还会替换浏览器中的各类设置,包括书签、收藏夹、新标签页、历史记录等,并且向原系统中安装360安全套装、2345加速浏览器等软件。其中,360套装包括360安全卫士和360浏览器,且在被推广安装后会默认锁定用户浏览器首页。

 

 

此外,火绒工程师通过进一步溯源发现,“老毛桃”所属旗下公司其它制作PE系统的工具如“大白菜超级U盘装机工具”和“晨枫工作室U盘启动盘制作工具”等均被植入上述木马病毒,存在删除安全软件、替换浏览器设置等恶意行为。

 

一直以来,第三方装机工具就是病毒、流氓软件的聚集地,由此类工具制作成的PE系统具备较高的权限,能随意植入恶意程序执行推广、捆绑等行为,甚至可以对抗、卸载安全类软件,对此,火绒工程师建议大家谨慎使用此类装机工具,避免遭遇安全风险。

附:【分析报告】

 

一、 详细分析

近日火绒收到用户反馈,在用户使用老毛桃U盘启动装机工具(www.laomaotao.net)制作的PE系统后,原有系统中安装的多款安全软件会被“无故”删除。除此之外,在用户使用PE系统重启后,系统中会被安装360安全套装、2345加速浏览器等软件,且浏览器书签、收藏夹等位置会出现多个推广链接。病毒执行流程,如下图所示:

 

Image-5.png

病毒执行流程图

 

当用户使用老毛桃制作PE盘并进入PE系统后,PECMD.EXE加载PECMD.INI配置文件执行,从IntelRaid.sys中解压执行TaoSet.exe模块。相关行为,如下图所示:

 

Image-6.png

解压并执行TaoSet模块

 

TaoSet模块会从资源节中解出Deploy模块并调用DeployGhostDelta导出函数。DeployGhostDelta函数会根据配置文件删除用户系统中的软件。影响的软件如下:

 

Image-7.png

影响的软件列表

 

相关现象,如下图所示:

 

Image-8.png

删除用户系统中的软件

 

删除操作相关配置数据,如下图所示:

 

Image-9.png

配置文件

 

配置解析与删除文件操作相关代码,如下图所示:

 

Image-10.png

读取配置

 

Image-11.png

删除文件和注册表

 

TaoSet会将自身(重命名为随机名)以及压缩后的推广软件拷贝到用户系统的Windows目录下,并添加开机启动。当用户退出PE系统进入原来的系统时,TaoSet模块便会加载执行。相关现象,如下图所示:

 

Image-12.png

开机启动执行

 

替换浏览器的各种设置:书签、收藏夹、新标签页、历史记录等,其中包含自身的链接或带有推广号的推广链接。 

 

Image-13.png

替换浏览器设置

 

影响的浏览器,如下图所示:

 

Image-14.png

影响的浏览器

 

TaoSet模块除了上述行为外,还会推广软件。目前推广的软件有360安全浏览器、360安全卫士、2345加速浏览器、WPS 2019和腾讯手游助手,且被推广的360安全卫士会默认锁定浏览器首页。安装推广软件在制作PE盘时可以取消,默认为勾选状态。

 

Image-15.png

推广软件开关

 

二、 溯源分析

经过老毛桃的网站备案信息查询,老毛桃隶属于“东莞市互泰网络科技有限公司”。该公司旗下还有其他WinPE制作工具,如电脑店、大白菜装机工具等。经过分析发现,“大白菜超级U盘装机工具”和“晨枫工作室U盘启动盘制作工具”均带有此病毒。

 

Image-16.png

旗下所有WinPE工具

 

三、 附录

病毒hash

 

Image-17.png

9999.jpg

0
安联智库&安联安全研究院 粤ICP备17152418-3号
sitemap feed