老毛桃PE盤工具木馬：一款「通殺」瀏覽器的主頁劫持大盜

最近，360安全中心接到多起網友反饋，稱電腦中所有瀏覽器的主頁都被篡改，而且強制鎖定為http://dh936.com/?00804推廣頁面。據360安全專家分析，這是一款假冒「老毛桃」PE盤製作工具的推廣木馬在惡意作祟。

下載該製作工具后，其捆綁的「凈網管家」軟體會釋放木馬驅動篡改首頁。當發現中招者試圖安裝安全軟體時，還會彈出「阻止安裝」提示，誘導中招者停止安裝。專家進一步分析后發現，該驅動還設置了不少保護措施逃避安全軟體查殺，如禁止自身文件和註冊表的瀏覽和讀取等。

實際上，「老毛桃」早已退出市場多年。目前市面上可見的「老毛桃」工具都是假的，更有不法分子經常打著「老毛桃」的旗號傳播木馬。360現已第一時間攔截查殺該木馬，以下是360安全中心對該木馬的詳細分析：

1下載的安裝包

該木馬網頁利用搜索競價排名在網上擴散，中招者提供的「帶毒」網址如圖：

下載PE后裡面會帶一個

PEINIT，去解壓這個PELOAD.7z文件。解壓出來的PELOAD.BIN文件是一個叫凈網管家的安裝包。

該安裝包文件為：

然後安裝運行後會釋放一個 jw開頭的隨機名驅動。

並且會攔截360安全衛士等軟體安裝。

2 釋放的惡意驅動

2.1 驅動文件信息

該驅動文件簽名信息為：

驅動

2.2 驅動初始化

該驅動文件載入后就向NTFS文件系統發送標記刪除命令。

導致任何訪問對該文件的訪問都會返回STATUS_DELETE_PENDING。

創建GUID 設備名跟應用層交互。

註冊關機回調

關機回調中回寫註冊表文件。

註冊進程回調模塊載入回調 進程回調主要作用為改主頁

並創建系統線程跟伺服器上傳信息 驅動自我更新

註冊註冊表回調保護自身服務項。

2.3 進程回調 修改PEB中進程命令行

獲取進程PEB信息：

判斷是否為瀏覽器進程：

為通配判斷。

判斷父進程

拼接命令行

拼接后網址為

http://dh936.com/?00804

然後追加到進程路徑信息後面， 修改PEB中ProcessParameters進程命令行。

為了使改首頁有效還必須屏蔽網盾模塊，

網盾模塊主要是兩處屏蔽，一處為文件過濾驅動屏蔽，另外一處為進程模塊載入Patch。

2.4 文件過濾驅動

相關函數為：

如果是禁止文件列表， 則直接禁止打開。

匹配成功則返回1

2.5 模塊載入回調

主要是判斷瀏覽器進程

發現如果是網盾模塊載入則Patch入口點。

網盾模塊列表：

Patch代碼

2.6 註冊表回調

主要是防止自身註冊表被訪問,被刪除,被枚舉。

發現刪除為自身項目 直接返回拒絕

枚舉時候檢測是否為自身註冊表 如果是則隱藏。

2.7 系統線程

主要是網路上傳和更新

發送putlog信息：

接受數據包

上傳用戶隱私信息還有安裝殺毒軟體信息。

360安全衛士已支持該木馬查殺，建議各位通過360軟體管家或其他正規渠道下載類似的軟體工具。

*本文作者：360安全衛士；轉載請註明來自 FreeBuf.COM