老毛桃PE盘工具木马:一款“通杀”浏览器的主页_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

老毛桃PE盘工具木马:一款“通杀”浏览器的主页

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


老毛桃PE盘工具木马:一款“通杀”浏览器的主页

最近,360安全中心接到多起网友反馈,称电脑中所有浏览器的主页都被篡改,而且强制锁定为http://dh936.com/?00804推广页面。据360安全专家分析,这是一款假冒“老毛桃”PE盘制作工具的推广木马在恶意作祟。 下载该制作工具后,其捆绑的“净网管家”软件会释放木马驱动篡改首页。当发现中招者试图安装安全软件时,还会弹出“阻止安装”提示,诱导中招者停止安装。专家进一步分析后发现,该驱动还设置了不少保护措施逃避安全软件查杀,如禁止自身文件和注册表的浏览和读取等。 实际上,“老毛桃”早已退出市场多年。目前市面上可见的“老毛桃”工具都是假的,更有不法分子经常打着“老毛桃”的旗号传播木马。360现已第一时间拦截查杀该木马,以下是360安全中心对该木马的详细分析: 1下载的安装包 该木马网页利用搜索竞价排名在网上扩散,中招者提供的“带毒”网址如图: 下载PE后里面会带一个 PEINIT,去解压这个PELOAD.7z文件。解压出来的PELOAD.BIN文件是一个叫净网管家的安装包。 该安装包文件为: 然后安装运行后会释放一个  jw开头的随机名驱动。 并且会拦截360安全卫士等软件安装。 2 释放的恶意驱动 2.1 驱动文件信息 该驱动文件签名信息为: 驱动 2.2 驱动初始化 该驱动文件加载后就向NTFS文件系统发送标记删除命令。 导致任何访问对该文件的访问都会返回STATUS_DELETE_PENDING。 创建GUID 设备名跟应用层交互。 注册关机回调 关机回调中回写注册表文件。 注册进程回调模块加载回调 进程回调主要作用为改主页 并创建系统线程跟服务器上传信息  驱动自我更新 注册注册表回调保护自身服务项。 2.3 进程回调  修改PEB中进程命令行 获取进程PEB信息: 判断是否为浏览器进程: 为通配判断。 判断父进程 拼接命令行 拼接后网址为 http://dh936.com/?00804 然后追加到进程路径信息后面, 修改PEB中ProcessParameters进程命令行。 为了使改首页有效还必须屏蔽网盾模块, 网盾模块主要是两处屏蔽,一处为文件过滤驱动屏蔽,另外一处为进程模块加载Patch。 2.4 文件过滤驱动 相关函数为: 如果是禁止文件列表,  则直接禁止打开。 匹配成功则返回1 2.5 模块加载回调 主要是判断浏览器进程 发现如果是网盾模块加载则Patch入口点。 网盾模块列表: Patch代码 2.6 注册表回调 主要是防止自身注册表被访问,被删除,被枚举。 发现删除为自身项目  直接返回拒绝 枚举时候检测是否为自身注册表  如果是则隐藏。 2.7 系统线程 主要是网络上传和更新 发送putlog信息: 接受数据包 上传用户隐私信息还有安装杀毒软件信息。 360安全卫士已支持该木马查杀,建议各位通过360软件管家或其他正规渠道下载类似的软件工具。 *本文作者:360安全卫士;转载请注明来自 FreeBuf.COM

老毛桃PE盘工具木马:一款“通杀”浏览器的主页