老毛桃PE盘工具木马：一款“通杀”浏览器的主页

最近，360安全中心接到多起网友反馈，称电脑中所有浏览器的主页都被篡改，而且强制锁定为http://dh936.com/?00804推广页面。据360安全专家分析，这是一款假冒“老毛桃”PE盘制作工具的推广木马在恶意作祟。 下载该制作工具后，其捆绑的“净网管家”软件会释放木马驱动篡改首页。当发现中招者试图安装安全软件时，还会弹出“阻止安装”提示，诱导中招者停止安装。专家进一步分析后发现，该驱动还设置了不少保护措施逃避安全软件查杀，如禁止自身文件和注册表的浏览和读取等。 实际上，“老毛桃”早已退出市场多年。目前市面上可见的“老毛桃”工具都是假的，更有不法分子经常打着“老毛桃”的旗号传播木马。360现已第一时间拦截查杀该木马，以下是360安全中心对该木马的详细分析： 1下载的安装包 该木马网页利用搜索竞价排名在网上扩散，中招者提供的“带毒”网址如图： 下载PE后里面会带一个 PEINIT，去解压这个PELOAD.7z文件。解压出来的PELOAD.BIN文件是一个叫净网管家的安装包。 该安装包文件为： 然后安装运行后会释放一个  jw开头的随机名驱动。 并且会拦截360安全卫士等软件安装。 2 释放的恶意驱动 2.1 驱动文件信息 该驱动文件签名信息为： 驱动 2.2 驱动初始化 该驱动文件加载后就向NTFS文件系统发送标记删除命令。 导致任何访问对该文件的访问都会返回STATUS_DELETE_PENDING。 创建GUID 设备名跟应用层交互。 注册关机回调 关机回调中回写注册表文件。 注册进程回调模块加载回调 进程回调主要作用为改主页 并创建系统线程跟服务器上传信息  驱动自我更新 注册注册表回调保护自身服务项。 2.3 进程回调  修改PEB中进程命令行 获取进程PEB信息： 判断是否为浏览器进程： 为通配判断。 判断父进程 拼接命令行 拼接后网址为 http://dh936.com/?00804 然后追加到进程路径信息后面， 修改PEB中ProcessParameters进程命令行。 为了使改首页有效还必须屏蔽网盾模块， 网盾模块主要是两处屏蔽，一处为文件过滤驱动屏蔽，另外一处为进程模块加载Patch。 2.4 文件过滤驱动 相关函数为： 如果是禁止文件列表，  则直接禁止打开。 匹配成功则返回1 2.5 模块加载回调 主要是判断浏览器进程 发现如果是网盾模块加载则Patch入口点。 网盾模块列表： Patch代码 2.6 注册表回调 主要是防止自身注册表被访问,被删除,被枚举。 发现删除为自身项目  直接返回拒绝 枚举时候检测是否为自身注册表  如果是则隐藏。 2.7 系统线程 主要是网络上传和更新 发送putlog信息： 接受数据包 上传用户隐私信息还有安装杀毒软件信息。 360安全卫士已支持该木马查杀，建议各位通过360软件管家或其他正规渠道下载类似的软件工具。 *本文作者：360安全卫士；转载请注明来自 FreeBuf.COM