近期，火絨收到用戶反饋，稱在使用老毛桃U盤啟動裝機工具製作的PE系統後，原有系統中多款安全軟件被無故刪除。火絨工程師溯源發現，上述使用老毛桃製作的PE系統中被植入了病毒，當用戶使用該PE系統時，即會執行病毒模塊，刪除包括火絨、360殺毒等安全軟件在內的指定軟件。為了避免用戶受到該病毒侵擾，火絨最新版已對該裝機工具進行攔截查殺。

分析發現，該病毒模塊除了刪除安全軟件外，還會替換瀏覽器中的各類設置，包括書籤、收藏夾、新標籤頁、歷史記錄等，並且向原系統中安裝360安全套裝、2345加速瀏覽器等軟件。其中，360套裝包括360安全衛士和360瀏覽器，且在被推廣安裝後會默認鎖定用戶瀏覽器首頁。

此外，火絨工程師通過進一步溯源發現，“老毛桃”所屬旗下公司其它製作PE系統的工具如“大白菜超級U盤裝機工具”和“晨楓工作室U盤啟動盤製作工具”等均被植入上述木馬病毒，存在刪除安全軟件、替換瀏覽器設置等惡意行為。

一直以來，第三方裝機工具就是病毒、流氓軟件的聚集地，由此類工具製作成的PE系統具備較高的權限，能隨意植入惡意程序執行推廣、捆綁等行為，甚至可以對抗、卸載安全類軟件，對此，火絨工程師建議大家謹慎使用此類裝機工具，避免遭遇安全風險。

附：【分析報告】

一、詳細分析

近日火絨收到用戶反饋，在用戶使用老毛桃U盤啟動裝機工具（www.laomaotao.net）製作的PE系統後，原有系統中安裝的多款安全軟件會被“無故”刪除。除此之外，在用戶使用PE系統重啟後，系統中會被安裝360安全套裝、2345加速瀏覽器等軟件，且瀏覽器書籤、收藏夾等位置會出現多個推廣鏈接。病毒執行流程，如下圖所示：

病毒執行流程圖

當用戶使用老毛桃製作PE盤並進入PE系統後，PECMD.EXE加載PECMD.INI配置文件執行，從IntelRaid.sys中解壓執行TaoSet.exe模塊。相關行為，如下圖所示：

解壓並執行TaoSet模塊

TaoSet模塊會從資源節中解出Deploy模塊並調用DeployGhostDelta導出函數。DeployGhostDelta函數會根據配置文件刪除用戶系統中的軟件。影響的軟件如下：

影響的軟件列表

相關現象，如下圖所示：

刪除用戶系統中的軟件

刪除操作相關配置數據，如下圖所示：

配置文件

配置解析與刪除文件操作相關代碼，如下圖所示：

讀取配置

刪除文件和註冊表

TaoSet會將自身（重命名為隨機名）以及壓縮後的推廣軟件拷貝到用戶系統的Windows目錄下，並添加開機啟動。當用戶退出PE系統進入原來的系統時，TaoSet模塊便會加載執行。相關現象，如下圖所示：

開機啟動執行

替換瀏覽器的各種設置：書籤、收藏夾、新標籤頁、歷史記錄等，其中包含自身的鏈接或帶有推廣號的推廣鏈接。

替換瀏覽器設置

影響的瀏覽器，如下圖所示：

影響的瀏覽器

TaoSet模塊除了上述行為外，還會推廣軟件。目前推廣的軟件有360安全瀏覽器、360安全衛士、2345加速瀏覽器、WPS 2019和騰訊手游助手，且被推廣的360安全衛士會默認鎖定瀏覽器首頁。安裝推廣軟件在製作PE盤時可以取消，默認為勾選狀態。

推廣軟件開關

二、溯源分析

經過老毛桃的網站備案信息查詢，老毛桃隸屬於“東莞市互泰網絡科技有限公司”。該公司旗下還有其他WinPE製作工具，如電腦店、大白菜裝機工具等。經過分析發現，“大白菜超級U盤裝機工具”和“晨楓工作室U盤啟動盤製作工具”均帶有此病毒。

旗下所有WinPE工具

三、附錄

病毒hash