近期，大量網(wǎng)友反映他們電腦的主頁(yè)遭到大范圍的篡改，經(jīng)過(guò)360安全中心專(zhuān)家的分析，確定這是一起假冒“老毛桃”P(pán)E盤(pán)制作工具的推廣木馬病毒在惡意作祟。為躲避安全軟件查殺，該木馬病毒謊稱(chēng)安裝安全軟件會(huì )影響系統運行，并彈出提示阻止安裝。

老毛桃PE盤(pán)工具木馬病毒 圖1

　　360安全中心專(zhuān)家指出，該木馬網(wǎng)頁(yè)利用搜索競價(jià)排名在網(wǎng)上擴散，將“帶毒”網(wǎng)址提供用戶(hù)，下載PE后里面會(huì )帶一個(gè)PEINIT，去解壓這個(gè)PELOAD.7z文件，解壓出來(lái)的PELOAD.BIN文件是一個(gè)叫凈網(wǎng)管家的安裝包。然后安裝運行后會(huì )釋放一個(gè)jw開(kāi)頭的隨機名的驅動(dòng)，并且會(huì )攔截360安全衛士等軟件安裝。

老毛桃PE盤(pán)工具木馬病毒 圖2

　　該驅動(dòng)文件加載后就向NTFS文件系統發(fā)送標記刪除命令，導致任何對該文件的訪(fǎng)問(wèn)都會(huì )返回STATUS_DELETE_PENDING。在接下來(lái)的操作中，就會(huì )更改注冊表文件，修改PEB中ProcessParameters進(jìn)程命令行，為了使惡改首頁(yè)有效還屏蔽了網(wǎng)盾模塊。

　　在注冊表回調中，若發(fā)現刪除為自身項目，直接返回拒絕。枚舉時(shí)檢測為自身注冊表則隱藏，防止自身注冊表被訪(fǎng)問(wèn)、被刪除、被枚舉。最后在接收的數據包后，將用戶(hù)隱私信息、安裝殺毒軟件信息上傳、更新到網(wǎng)上。

　　實(shí)際上，“老毛桃”早已退出市場(chǎng)多年。目前市面上可見(jiàn)的“老毛桃”工具都是假的，360現已第一時(shí)間攔截查殺該木馬病毒，同時(shí)建議網(wǎng)友通過(guò)正規渠道下載類(lèi)似的軟件工具。

老毛桃PE盤(pán)工具木馬病毒 圖3