【快讯】

近期，火绒收到用户反馈，称在使用老毛桃U盘启动装机工具制作的PE系统后，原有系统中多款安全软件被无故删除。火绒工程师溯源发现，上述使用老毛桃制作的PE系统中被植入了病毒，当用户使用该PE系统时，即会执行病毒模块，删除包括火绒、360杀毒等安全软件在内的指定软件。为了避免用户受到该病毒侵扰，火绒最新版已对该装机工具进行拦截查杀。

分析发现，该病毒模块除了删除安全软件外，还会替换浏览器中的各类设置，包括书签、收藏夹、新标签页、历史记录等，并且向原系统中安装360安全套装、2345加速浏览器等软件。其中，360套装包括360安全卫士和360浏览器，且在被推广安装后会默认锁定用户浏览器首页。

此外，火绒工程师通过进一步溯源发现，“老毛桃”旗下所属公司其它制作PE系统的工具如“大白菜超级U盘装机工具”和“晨枫工作室U盘启动盘制作工具”等均被植入上述木马病毒，存在删除安全软件、替换浏览器设置等恶意行为。

一直以来，第三方装机工具就是病毒、流氓软件的聚集地，由此类工具制作成的PE系统具备较高的权限，能随意植入恶意程序执行推广、捆绑等行为，甚至可以对抗、卸载安全类软件，对此，火绒工程师建议大家谨慎使用此类装机工具，避免遭遇安全风险。

附：【分析报告】

一、 详细分析

近日火绒收到用户反馈，在用户使用老毛桃U盘启动装机工具（http://www.laomaotao.net）制作的PE系统后，原有系统中安装的多款安全软件会被“无故”删除。除此之外，在用户使用PE系统重启后，系统中会被安装360安全套装、2345加速浏览器等软件，且浏览器书签、收藏夹等位置会出现多个推广链接。病毒执行流程，如下图所示：

病毒执行流程图

当用户使用老毛桃制作PE盘并进入PE系统后，PECMD.EXE加载PECMD.INI配置文件执行，从IntelRaid.sys中解压执行TaoSet.exe模块。相关行为，如下图所示：

解压并执行TaoSet模块

TaoSet模块会从资源节中解出Deploy模块并调用DeployGhostDelta导出函数。DeployGhostDelta函数会根据配置文件删除用户系统中的软件。影响的软件如下：

影响的软件列表

相关现象，如下图所示：

删除用户系统中的软件

删除操作相关配置数据，如下图所示：

配置文件

配置解析与删除文件操作相关代码，如下图所示：

读取配置

删除文件和注册表

TaoSet会将自身（重命名为随机名）以及压缩后的推广软件拷贝到用户系统的Windows目录下，并添加开机启动。当用户退出PE系统进入原来的系统时，TaoSet模块便会加载执行。相关现象，如下图所示：

开机启动执行

替换浏览器的各种设置：书签、收藏夹、新标签页、历史记录等，其中包含自身的链接或带有推广号的推广链接。

替换浏览器设置

影响的浏览器，如下图所示：

影响的浏览器

TaoSet模块除了上述行为外，还会推广软件。目前推广的软件有360安全浏览器、360安全卫士、2345加速浏览器、WPS 2019和腾讯手游助手，且被推广的360安全卫士会默认锁定浏览器首页。安装推广软件在制作PE盘时可以取消，默认为勾选状态。

推广软件开关

二、 溯源分析

经过老毛桃的网站备案信息查询，老毛桃隶属于“东莞市互泰网络科技有限公司”。该公司旗下还有其他WinPE制作工具，如电脑店、大白菜装机工具等。经过分析发现，“大白菜超级U盘装机工具”和“晨枫工作室U盘启动盘制作工具”均带有此病毒。

旗下所有WinPE工具

三、 附录

病毒hash