装机工具老毛桃携带木马病毒 卸载安全软件进行推广

火绒安全实验室

【快讯】
近期，火绒收到用户反馈，称在使用老毛桃U盘启动装机工具制作的PE系统后，原有系统中多款安全软件被无故删除。火绒工程师溯源发现，上述使用老毛桃制作的PE系统中被植入了病毒，当用户使用该PE系统时，即会执行病毒模块，删除包括火绒、360杀毒等安全软件在内的指定软件。为了避免用户受到该病毒侵扰，火绒最新版已对该装机工具进行拦截查杀。



分析发现，该病毒模块除了删除安全软件外，还会替换浏览器中的各类设置，包括书签、收藏夹、新标签页、历史记录等，并且向原系统中安装360安全套装、2345加速浏览器等软件。其中，360套装包括360安全卫士和360浏览器，且在被推广安装后会默认锁定用户浏览器首页。


此外，火绒工程师通过进一步溯源发现，“老毛桃”旗下所属公司其它制作PE系统的工具如“大白菜超级U盘装机工具”和“晨枫工作室U盘启动盘制作工具”等均被植入上述木马病毒，存在删除安全软件、替换浏览器设置等恶意行为。

一直以来，第三方装机工具就是病毒、流氓软件的聚集地，由此类工具制作成的PE系统具备较高的权限，能随意植入恶意程序执行推广、捆绑等行为，甚至可以对抗、卸载安全类软件，对此，火绒工程师建议大家谨慎使用此类装机工具，避免遭遇安全风险。
附：【分析报告】

一、        详细分析
近日火绒收到用户反馈，在用户使用老毛桃U盘启动装机工具（www.laomaotao.net）制作的PE系统后，原有系统中安装的多款安全软件会被“无故”删除。除此之外，在用户使用PE系统重启后，系统中会被安装360安全套装、2345加速浏览器等软件，且浏览器书签、收藏夹等位置会出现多个推广链接。病毒执行流程，如下图所示：


病毒执行流程图

当用户使用老毛桃制作PE盘并进入PE系统后，PECMD.EXE加载PECMD.INI配置文件执行，从IntelRaid.sys中解压执行TaoSet.exe模块。相关行为，如下图所示：


解压并执行TaoSet模块

TaoSet模块会从资源节中解出Deploy模块并调用DeployGhostDelta导出函数。DeployGhostDelta函数会根据配置文件删除用户系统中的软件。影响的软件如下：


影响的软件列表

相关现象，如下图所示：


删除用户系统中的软件

删除操作相关配置数据，如下图所示：


配置文件

配置解析与删除文件操作相关代码，如下图所示：


读取配置


删除文件和注册表

TaoSet会将自身（重命名为随机名）以及压缩后的推广软件拷贝到用户系统的Windows目录下，并添加开机启动。当用户退出PE系统进入原来的系统时，TaoSet模块便会加载执行。相关现象，如下图所示：


开机启动执行

替换浏览器的各种设置：书签、收藏夹、新标签页、历史记录等，其中包含自身的链接或带有推广号的推广链接。


替换浏览器设置

影响的浏览器，如下图所示：


影响的浏览器

TaoSet模块除了上述行为外，还会推广软件。目前推广的软件有360安全浏览器、360安全卫士、2345加速浏览器、WPS 2019和腾讯手游助手，且被推广的360安全卫士会默认锁定浏览器首页。安装推广软件在制作PE盘时可以取消，默认为勾选状态。


推广软件开关

二、        溯源分析
经过老毛桃的网站备案信息查询，老毛桃隶属于“东莞市互泰网络科技有限公司”。该公司旗下还有其他WinPE制作工具，如电脑店、大白菜装机工具等。经过分析发现，“大白菜超级U盘装机工具”和“晨枫工作室U盘启动盘制作工具”均带有此病毒。


旗下所有WinPE工具

三、        附录
病毒hash

ly847846556

xiaosay 发表于 2020-9-3 11:31
这个就尴尬了，以后装机用什么PE比较好

推荐你3个吧，1 微pe（比较简洁，但工具比较简单，适合个人装机用）  2 优启通 （it天空出品，不会有流氓插件） 3 U盘魔术师 （系统总裁出品 工具强大，适合电脑城装机技术员使用），这几个我3个U盘都在用，很不错。

臭味香头

晕死，别的我没注意，居然大白菜和老毛桃是一家，坑了我那么多年啊。

我是靓仔

xiaosay 发表于 2020-9-3 11:31
这个就尴尬了，以后装机用什么PE比较好

微pe(全名：微pe工具箱)力推,其他的都是广告推广。这个纯净

andresu

太难了，再也不是以前的老毛桃了

wang777www

ly847846556 发表于 2020-9-3 13:00
推荐你3个吧，1 微pe（比较简洁，但工具比较简单，适合个人装机用）  2 优启通 （it天空出品，不会有流氓 ...

优启通可真是好东西，苹果电脑都可以直接进入PE

pewros

lzspain 发表于 2020-9-3 12:18
用微PE损坏过一个U盘，有心理阴影，现在用的大白菜。

U盘要坏别怪PE，老毛桃什么也就对已安装的系统或者安装的系统耍流氓，再流氓的PE都不会对U盘下手。

小强007

以前不懂，用过一次，全是被安装的软件。

antiofk

处处是坑

tutu520

老毛桃确实太差劲了，捆绑软件太多

iflower

这个就尴尬了，以后装机用什么PE比较好

jianbin11

之前不懂，用过一次，全是被安装好多别的软件。

wfst

我是靓仔 发表于 2020-9-3 11:39
微pe(全名：微pe工具箱)力推,其他的都是广告推广。这个纯净

从微软官网下的那个是不？忘了怎么弄了。。

babyxiaozi

刚才重装了系统来压压惊