近期,火绒宁静收到用户反应,称在利用老毛桃U盘启动装机东西制造的PE体系后,原有体系中多款宁静软件被无端删除。火绒工程师溯源发明,上述利用老毛桃制造的PE体系中被植入了病毒,当用户利用该PE体系时,即会实行病毒模块,删除包罗火绒、360杀毒等宁静软件在内的指定软件。为了制止用户遭到该病毒扰乱,火绒最新版已对该装机东西举行阻拦查杀。
剖析发明,该病毒模块除了删除宁静软件外,还会交换欣赏器中的各种设置,包罗书签、珍藏夹、新标签页、汗青记载等,而且向原体系中安置360宁静套装、2345减速欣赏器等软件。此中,360套装包罗360宁静卫士和360欣赏器,且在被推行安置后会默许锁定用户欣赏器首页。
别的,火绒工程师经过进一步溯源发明,“老毛桃”所属旗下公司别的制造PE体系的东西如“明白菜超等U盘装机东西”和“晨枫事情室U盘启动盘制造东西”等均被植入上述木马病毒,存在删除宁静软件、交换欣赏器设置等歹意举动。
不停以来,第三方装机东西便是病毒、地痞软件的收集地,由此类东西制造成的PE体系具有较高的权限,能随意植入歹意步伐实行推行、捆绑等举动,乃至可以反抗、卸载宁静类软件,对此,火绒工程师发起各人审慎利用此类装机东西,制止遭遇宁静危害。
附:【剖析陈诉】
一、 细致剖析
克日火绒收到用户反应,在用户利用老毛桃U盘启动装机东西(www.laomaotao.net)制造的PE体系后,原有体系中安置的多款宁静软件会被“无端”删除。除此之外,在用户利用PE体系重启后,体系中会被安置360宁静套装、2345减速欣赏器等软件,且欣赏器书签、珍藏夹等地位会呈现多个推行链接。病毒实行流程,如下图所示:
溯源剖析
颠末老毛桃的网站存案信息盘问,老毛桃从属于“东莞市互泰网络科技有限公司”。该公司旗下另有其他WinPE制造东西,如电脑店、明白菜装机东西等。颠末剖析发明,“明白菜超等U盘装机东西”和“晨枫事情室U盘启动盘制造东西”均带有此病毒。
