怒艹流氓老毛桃之二

2014年9月16日 上午 9:10 来自 Azure 浏览(858)

越看这代码越是气不打一处来。老毛桃现在俨然已经不是以前那个甘于为大家奉献的老毛桃个人、而是一个唯利是图的商业团队。中国的软件作者一旦染上商业的色彩便无所不用其极……真是恶心的让人想吐……代码写的简直就是个病毒!打着方便易用的旗号实则在WinPE里感染正常操作系统关闭UAC为自己安装流氓软件大行方便之道。我说这些推广厂商也不看看你们选的团队用什么方法推广你们的软件。用病毒推广自己的软件不觉得害臊么,以前我还以为只有百度会这么做。现在发现尼玛TX也不是什么好东西……你的东西好我不用你推广也会去自己下载,这种流氓的推广方法只会为自己增加负面的积分!

先来说说那个MySET、核心全都在这里面了,然后还有个SUPPORT.img,位于/ILMT/IMGS/SUPPORT.IMG,本身不是标准的IMG镜像文件、打开看头文件有个FBAR的Magic、在脚本里也看到了fbinst的引用,所以猜测是fbinst的磁盘镜像文件,遂用FbinstTool装载,得到如下结果
20140915081626

明白人一看就懂了吧?Inno setup的安装脚本

你以为我的分析到此结束么?错……对于这种流氓软件恨不能生啖其肉。这只是个引言,接下来才是他流氓的地方。

回头来看下上次从MySET里解出来的几个文件

MyInclude\帮助.dat 释放后被拷贝为help.url,是一个指向已经停用域名的网址快捷方式
MyInclude\fbinst.dll bean大神做的隐藏分区读写工具
MyInclude\reg.dll 微软的Registry Console Tool
MyInclude\Url.dll 流氓你收藏夹
LMTset.au3.tbl 组件

可以看到它本身没什么自己的东西,代码也就写了个捆绑到imagex上运行的和感染系统的autoit3代码。
url.dll本身是url.exe、7-zip的SFX,然后便用7-zip打开,结果如下图
20140915094758
脚本里调用参数为

查了下参数

于是这句话的意思就是释放文件到你的favorites文件夹,路径的计算过程亲们自己看脚本吧。

至于流氓的LMTset.au3因为太多这里不贴出,附件里给出,我们只挑重点的讲。
写个host啥的
释放垃圾到收藏夹
调用Registry Console Tool写你注册表:
关闭UAC
写启动项
写IE首页(这个好像还设置权限了?为了不让用户更改?)

写sptLMT.vbs内容

最后我们来看看运行什么会被老毛桃猥琐

Extend\GHOST32\GHOST115.EXE
Extend\GHOST32\GHOST83.EXE
Extend\wim工具\PEGimagex.EXE
Extend\备份还原\imagex.EXE
Extend\磁盘管理\Apple.exe
Extend\系统安装\setupxp.EXE
Extend\系统安装\WIN$MAN.EXE
Extend\系统安装\win系统srs驱动注入.exe
basic\GHOST32\GHOST32.EXE
basic\系统安装\NT6快捷安装器.EXE
basic\系统安装\WinNTSetup.exe
Program Files\\GHOST32\GHOST32.EXE
Program Files\\系统安装\NT6快捷安装器.EXE
Program Files\\系统安装\WinNTSetup.exe

看看这些选中用来猥琐你的程序,真是居心险恶。在你要备份系统之前感染系统,保证你以后就算不用老毛桃也会有他的流氓软件,颇有些老毛桃到此一游的意味。

_(:з」∠)_科技是把双刃剑啊……就像之前知道安全论坛v3上某大牛说的一样、某些中国人真是掉到钱眼里了……Registry Console Tool设计的初衷肯定是在无法进入windows的时候用来修复损坏的注册表的。可是却被老毛桃团队用来艹你首页关你UAC写你启动项。脚本里还有几个未被调用的函数估计是写了一半还未完成,目测要在下次被加入到正式版里,从这点来看老毛桃的流氓之路看来才刚刚起步。
他现在可以给你写个推广,装个流氓软件、试想如果非法的木马病毒作者给的钱足够多的话,他们要是在你电脑上装个木马病毒什么的你也完全不知情【只是没有根据的个人猜测,请各位不要太认真~不过他们完全是有能力做到这一点的╮( ̄▽ ̄”)╭ 既然这货已经不要节操到这种地步了、说不定会在品牌败坏之后不遗余力的坑人吧。_(:з」∠)_人与人之间基本的信任在哪里啊(╯‵□′)╯︵┻━┻
客户使用一个WinPE是出于对这个品牌的完全信任,可是现在的老毛桃团队的良心真的对得起我们的信任么?不惜关闭UAC降低系统安全性来丰满自己的钱包,真是置客户的感受于不顾,老毛桃品牌已逝,这种流氓团队已经没有让大家拥护的必要!

附件为MySET提取出的主要脚本、各位要是有兴趣可以自己看看,我也只是粗略的看了看_(:з」∠)_各位知道怎么对付这种流氓就好了。过几天放出感染的恢复程序
LMTset

  • 2条评论