怒艹流氓老毛桃之一

2014年9月14日 上午 1:29 来自 Azure 浏览(1,172)

_(:з」∠)_晚上给妹子装电脑、弄了好久……非常小心的没有装上国产的流氓软件、然后都弄好以后重启用老毛桃备份、备份完了启动速度巨慢。然后发现被安装了 爱奇艺视频 飞速浏览器 网购返利 QQ管家等软件……=。=一开始我还觉得奇怪、他妈的刚才还没问题怎么备份一下国产流氓全都出来了……然后想了一下……大概是老毛桃的毛病……之前用这个会被设置主页……这次用的新版没想到会这么过分……

遂怒查资料、发现老毛桃用了一个隐藏分区、之前一直想研究老毛桃的原理却止步在这个隐藏分区上,这次不会退让了……太流氓了……妈蛋!
查到如下

UD是使用时空论坛bean大侠制作的fbinst或者它的gui界面fbinsttool产生的一个分区,可以在硬盘、U盘或者储存卡上分出一个隐藏的分区,其特性是除了基于fbinst的工具可以进行读取之外的任何软件或者系统都无法读取其中的数据,具有防病毒、木马和防格式化等功能!而且对U盘的普通格式化也不会破坏隐藏FBA文件。

然后遂查找fbinsttool提取老毛桃分区,研究发现SRS文件夹应该是一堆驱动 TOOLS文件夹是附加的几个镜像PELOAD就是自定义的那坨东西IMGS就是启动菜单上的一堆功能。

回忆了一下是使用了拓展的imagex工具染上流氓的、遂拆镜像、找文件,Autoit3封装、拆!

从代码可见老毛桃之猥琐。大概也是流氓软件常用的手法。然后想了一下大概这不要脸的家伙会把MYSET放到PE镜像里,遂查之。果然在LMT Win8镜像的System32下面找到了这个、两层壳、外面一层是啥不清楚,感觉像加密壳?谁知道呢……反正里面是UPX。加壳这货是入门吧……UPX外面套个啥都是废品啊。

解之。发现了老毛桃的名字

Release path in autoit3:
C:\DOCUME~1\linfu\LOCALS~1\Temp\autE9.tmp

大概是个叫linfu的家伙……=。=人肉什么的先放放。然后剩下几个是

Release path in autoit3:
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\帮助.dat
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\fbinst.dll
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\reg.dll
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\Url.dll
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\LMTset.au3.tbl

总之reg功能繁多、分析暂缓。还有解的不太好……第一次接触AutoIt3没啥经验,回头解个完美的出来分析。

从这上面来看应该是在备份前就已经把这些垃圾艹到系统里了……因为只延迟了30秒启动。而且因为镜像改起来比较麻烦、之后我大概会放一个MYSET的解药。其实最好的方法就是在刚进入老毛桃Win8PE的时候删除System32下的MySet.exe_(:з」∠)_卅、谁叫咱一开始不知道这事呢~

  • 3条评论