存儲hur

1. ntldr.exe是個什麼文件感覺好象是一個病毒，每個盤里都有，刪了一會兒又出現，

老病毒新變種的分析之一

一.logogo最新變種soundmno.exe,ntldr.exe的分析

技術細節：
1.病毒運行後，衍生如下副本：
C:\WINDOWS\system\soundmno.exe
在每個磁碟分區根目錄下釋放ntldr.exe和autorun.inf達到通過移動存儲傳播的目的

2.創建注冊表啟動項目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TBMonEx: "C:\WINDOWS\system\soundmno.exe"
達到開機啟動的目的
在HKLM\SOFTWARE下面創建logogo子鍵，用以記錄病毒安裝成功的信息。

3.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面創建映像劫持項目，指向病毒本身。
（與之前病毒變種相同）

4.感染exe文件 並跳過部分exe文件
CA.exe
NMCOSrv.exe
CONFIG.exe
Updater.exe
WE8.exe
settings.exe
PES5.exe
PES6.exe...
（與之前病毒變種相同）
和某些文件夾中的文件
windows
winnt
recycler
system volume information
Common Files
Internet Explorer
Windows NT

並跳過感染有exe文件中有ani區段的文件

被感染文件尾部被加入一個名為.ani的節。

5.連接網路下載木馬
讀取http://*:1433/xin.jpg的下載列表
然後下載http://*:1433/mylm.exe
http://*:1433/mhlm.exe
http://l.6u6.biz/00001.exe~http://l.6u6.biz/00010.exe
http://*:1433/00011.exe~http://*:1433/00014.exe
到%systemroot%\system下面
並以SYSTEM128.tmp作為下載文件過程中的臨時文件

6.病毒同時會獲得當前機器名，操作系統版本，MAC地址等信息 並把信息發送給指定地址

病毒木馬植入完畢後的sreng日誌如下：
啟動項目
注冊表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
{TBMonEx}{C:\WINDOWS\system\soundmno.exe} []
{inudhya}{C:\WINDOWS\system\soundma.exe} []
{WinForm}{C:\WINDOWS\WinForm.exE} []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{kvdxsjma.dll} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{{59502416-6436-4CE9-BC06-3C1156FC3542}}{\\?\C:\WINDOWS\system32\myad.nls} []
{{AD561258-45F3-A451-F908-A258458226DA}}{C:\WINDOWS\system32\kvdxsjma.dll} []
{{9E32FA58-3453-FA2D-BC49-F340348ACCE9}}{C:\WINDOWS\system32\rsmyipm.dll} []
{{792FADFA-BCDE-ACDF-CDEF-21054865CBA7}}{C:\WINDOWS\system32\wsmsezx.dll} []
{{F2CEA371-1442-4F42-900F-97C479F406DB}}{C:\WINDOWS\system32\hursax.dll} []
{{9963387B-212E-4643-B207-82DAEA0E713D}}{C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys} []
{{5598FF45-DA60-F48A-BC43-10AC47853D55}}{C:\WINDOWS\system32\rarjepi.dll} []
{{8A1247C1-53DA-FF43-ABD3-345F323A48D8}}{C:\WINDOWS\system32\avwghmn.dll} []
{{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}}{C:\WINDOWS\system32\kvdxjma.dll} []
{{D34345F1-DACF-3452-CB7D-4620F34A153D}}{C:\WINDOWS\system32\rsztmpm.dll} []
{{64783410-4F90-34A0-7820-3230ACD05F46}}{C:\WINDOWS\system32\raqjfpi.dll} []
{{A859245F-345D-BC13-AC4F-145D47DA34FA}}{C:\WINDOWS\system32\avzxjmn.dll} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
{IFEO[360rpt.exe]}{C:\WINDOWS\system\soundmno.exe} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
{IFEO[360Safe.exe]}{C:\WINDOWS\system\soundmno.exe} [] ...

==================================
瀏覽器載入項
[]
{9963387B-212E-4643-B207-82DAEA0E713D} {C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A}
==================================
正在運行的進程
[PID: 1500][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system\inudhya.dll] [N/A, ]
[C:\WINDOWS\system32\WinForm.dll] [N/A, ]
[\\?\C:\WINDOWS\system32\myad.nls] [N/A, ]
[C:\WINDOWS\system32\kvdxsjma.dll] [N/A, ]
[C:\WINDOWS\system32\rsmyipm.dll] [N/A, ]
[C:\WINDOWS\system32\wsmsezx.dll] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ]
[C:\WINDOWS\system32\rarjepi.dll] [N/A, ]
[C:\WINDOWS\system32\hursax.dll] [N/A, ]
[C:\WINDOWS\system32\avwghmn.dll] [N/A, ]
[C:\WINDOWS\system32\kvdxjma.dll] [N/A, ]
[C:\WINDOWS\system32\rsztmpm.dll] [N/A, ]
[C:\WINDOWS\system32\avzxjmn.dll] [N/A, ]
[C:\WINDOWS\system32\raqjfpi.dll] [N/A, ]

==================================
Autorun.inf
[C:\]
[AutoRun]
OPEN=ntldr.exe
shellexecute=ntldr.exe
shell\打開(&O)\command=ntldr.exe...

解決辦法：
下載sreng:http://download.kztechs.com/files/sreng2.zip
Xdelbox:http://www.dodou.com/down/裡面的原創軟體文件夾下

首先重啟計算機進入安全模式下(開機後不斷 按F8鍵 然後出來一個高級菜單 選擇第一項 安全模式 進入系統)
分別解壓Xdelbox和sreng
(注意：如果winrar也被感染，請重裝winrar後再解壓文件,推薦重裝winrar)

1.打開sreng
啟動項目 注冊表 刪除如下項目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{TBMonEx}{C:\WINDOWS\system\soundmno.exe} []

並刪除所有紅色的IFEO項目

2.解壓Xdelbox所有文件到一個文件夾
在 添加旁邊的框中 分別輸入（實際情況不一定與此相同，因為木馬隨時會變化）
C:\Program Files\Internet Explorer\PLUGINS\Sy_Win7k.Jmp
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\WINDOWS\system\inudhya.dll
C:\WINDOWS\system\mhlm.exe
C:\WINDOWS\system\mylm.exe
C:\WINDOWS\system\soundma.exe
C:\WINDOWS\system\soundmno.exe
C:\WINDOWS\system32\avwghin.dll
C:\WINDOWS\system32\avwghmn.dll
C:\WINDOWS\system32\avwghst.exe
C:\WINDOWS\system32\avzxjmn.dll
C:\WINDOWS\system32\avzxjst.exe
C:\WINDOWS\system32\hursax.dll
C:\WINDOWS\system32\kvdxjis.exe
C:\WINDOWS\system32\kvdxjma.dll
C:\WINDOWS\system32\kvdxsjis.exe
C:\WINDOWS\system32\kvdxsjma.dll
C:\WINDOWS\system32\raqjfpi.dll
C:\WINDOWS\system32\raqjftl.exe
C:\WINDOWS\system32\rarjepi.dll
C:\WINDOWS\system32\rarjetl.exe
C:\WINDOWS\system32\rsmyifg.dll
C:\WINDOWS\system32\rsmyipm.dll
C:\WINDOWS\system32\rsmyisp.exe
C:\WINDOWS\system32\rsztmpm.dll
C:\WINDOWS\system32\rsztmsp.exe
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\wsmseax.exe
C:\WINDOWS\system32\wsmsezx.dll
C:\WINDOWS\WinForm.exE

（第一步為處理病毒下載的木馬的步驟，實際操作中不一定與其完全相同）

輸入完一個以後 點擊旁邊的添加 按鈕 被添加的文件 將出現在下面的大框中
然後一次性選中 （按住ctrl)下面大框中所有的文件
右鍵 單擊 點擊 重啟立即刪除

3.重啟計算機後
雙擊我的電腦，工具，文件夾選項，查看，單擊選取"顯示隱藏文件或文件夾" 並清除"隱藏受保護的操作系統文件（推薦）"前面的鉤。在提示確定更改時，單擊「是」 然後確定
點擊 菜單欄下方的 文件夾按鈕（搜索右邊的按鈕）
在左邊的資源管理器中單擊打開每個盤

刪除各個盤根目錄下的ntldr.exe和autorun.inf

4.打開sreng
刪除上述對應的啟動項目 瀏覽器載入項目

5.使用殺毒軟體全盤殺毒以修復被感染的exe文件