一、详细分析

近期火绒接到用户反馈，在使用一款名为“装机助理”的软件重装系统后，安装其他软件会发现软件配置被篡改的情况。经过火绒分析，在使用软件提供的“装机助理系统”重装时，镜像中的恶意模块会释放针对多款软件（360、腾讯电脑管家、火绒等）的恶意配置文件。这些配置会在用户安装对应软件后生效，从而劫持浏览器首页、添加推广链接、添加杀软白名单和修改软件推广渠道号获利。

火绒用户无需担心：如火绒软件安装早于上述流氓软件，可直接对该装机工具进行拦截查杀；如 “装机助理”软件安装早于火绒软件导致受影响，用户可通过清空火绒“信任区”，进行“全盘查杀”，或直接联系火绒工程师解决问题。近年来，第三方装机工具往往是病毒、流氓软件的聚集地，对此，火绒工程师建议大家谨慎使用此类装机工具，请通过官方途径下载正规软件。
根据火绒工程师分析，“装机助理”软件携带的恶意模块会在PE环境下和系统重装首次启动后，释放安全软件、浏览器、影音播放等软件的恶意配置文件或添加注册表项，从而在用户安装对应软件后能够劫持首页、添加推广链接、添加自身到杀软白名单以及修改软件推广渠道号。同时恶意模块会释放驱动文件，云控劫持导航或搜索的推广链接。

“装机助理”软件，如下图所示：

受恶意配置影响的软件，如下图所示：

受影响的软件列表

恶意模块会释放360，腾讯电脑管家，火绒等安全软件配置文件，用于添加信任或锁定首页。360和腾讯电脑管家恶意配置为7z自解压包的形式，压缩的目录结构如下图所示：

恶意配置自解压包的目录结构

火绒及2345安全卫士的配置释放代码，如下图所示：

火绒及2345安全卫士的配置释放代码

由于这些配置文件存储用户相关的配置项，当这些安全软件安装后，会把这些配置当作是上次安装时留下的用户配置，从而被加载并生效。使用“装机助理系统“重装后安装360后，360信任区中出现了恶意模块相关的路径信任项和系统修复的信任项，以及优化记录中出现腾讯电脑管家。安装腾讯电脑管家和火绒后，腾讯电脑管家和火绒的信任区中新增了恶意模块相关的信任项以及首页锁定。具体现象，如下图所示：

360信任区