|
近期,大量网友反映他们电脑的主页遭到大范围的篡改,经过360安全中心专家的分析,确定这是一起假冒“老毛桃”PE盘制作工具的推广木马病毒在恶意作祟。为躲避安全软件查杀,该木马病毒谎称安装安全软件会影响系统运行,并弹出提示阻止安装。
老毛桃PE盘工具木马病毒 图1 360安全中心专家指出,该木马网页利用搜索竞价排名在网上扩散,将“带毒”网址提供用户,下载PE后里面会带一个PEINIT,去解压这个PELOAD.7z文件,解压出来的PELOAD.BIN文件是一个叫净网管家的安装包。然后安装运行后会释放一个jw开头的随机名的驱动,并且会拦截360安全卫士等软件安装。
老毛桃PE盘工具木马病毒 图2 该驱动文件加载后就向NTFS文件系统发送标记删除命令,导致任何对该文件的访问都会返回STATUS_DELETE_PENDING。在接下来的操作中,就会更改注册表文件,修改PEB中ProcessParameters进程命令行,为了使恶改首页有效还屏蔽了网盾模块。 在注册表回调中,若发现删除为自身项目,直接返回拒绝。枚举时检测为自身注册表则隐藏,防止自身注册表被访问、被删除、被枚举。最后在接收的数据包后,将用户隐私信息、安装杀毒软件信息上传、更新到网上。 实际上,“老毛桃”早已退出市场多年。目前市面上可见的“老毛桃”工具都是假的,360现已第一时间拦截查杀该木马病毒,同时建议网友通过正规渠道下载类似的软件工具。
老毛桃PE盘工具木马病毒 图3 |
