存储hur

1. ntldr.exe是个什么文件感觉好象是一个病毒，每个盘里都有，删了一会儿又出现，

老病毒新变种的分析之一

一.logogo最新变种soundmno.exe,ntldr.exe的分析

技术细节：
1.病毒运行后，衍生如下副本：
C:\WINDOWS\system\soundmno.exe
在每个磁盘分区根目录下释放ntldr.exe和autorun.inf达到通过移动存储传播的目的

2.创建注册表启动项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TBMonEx: "C:\WINDOWS\system\soundmno.exe"
达到开机启动的目的
在HKLM\SOFTWARE下面创建logogo子键，用以记录病毒安装成功的信息。

3.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面创建映像劫持项目，指向病毒本身。
（与之前病毒变种相同）

4.感染exe文件 并跳过部分exe文件
CA.exe
NMCOSrv.exe
CONFIG.exe
Updater.exe
WE8.exe
settings.exe
PES5.exe
PES6.exe...
（与之前病毒变种相同）
和某些文件夹中的文件
windows
winnt
recycler
system volume information
Common Files
Internet Explorer
Windows NT

并跳过感染有exe文件中有ani区段的文件

被感染文件尾部被加入一个名为.ani的节。

5.连接网络下载木马
读取http://*:1433/xin.jpg的下载列表
然后下载http://*:1433/mylm.exe
http://*:1433/mhlm.exe
http://l.6u6.biz/00001.exe~http://l.6u6.biz/00010.exe
http://*:1433/00011.exe~http://*:1433/00014.exe
到%systemroot%\system下面
并以SYSTEM128.tmp作为下载文件过程中的临时文件

6.病毒同时会获得当前机器名，操作系统版本，MAC地址等信息 并把信息发送给指定地址

病毒木马植入完毕后的sreng日志如下：
启动项目
注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
{TBMonEx}{C:\WINDOWS\system\soundmno.exe} []
{inudhya}{C:\WINDOWS\system\soundma.exe} []
{WinForm}{C:\WINDOWS\WinForm.exE} []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{kvdxsjma.dll} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{{59502416-6436-4CE9-BC06-3C1156FC3542}}{\\?\C:\WINDOWS\system32\myad.nls} []
{{AD561258-45F3-A451-F908-A258458226DA}}{C:\WINDOWS\system32\kvdxsjma.dll} []
{{9E32FA58-3453-FA2D-BC49-F340348ACCE9}}{C:\WINDOWS\system32\rsmyipm.dll} []
{{792FADFA-BCDE-ACDF-CDEF-21054865CBA7}}{C:\WINDOWS\system32\wsmsezx.dll} []
{{F2CEA371-1442-4F42-900F-97C479F406DB}}{C:\WINDOWS\system32\hursax.dll} []
{{9963387B-212E-4643-B207-82DAEA0E713D}}{C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys} []
{{5598FF45-DA60-F48A-BC43-10AC47853D55}}{C:\WINDOWS\system32\rarjepi.dll} []
{{8A1247C1-53DA-FF43-ABD3-345F323A48D8}}{C:\WINDOWS\system32\avwghmn.dll} []
{{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}}{C:\WINDOWS\system32\kvdxjma.dll} []
{{D34345F1-DACF-3452-CB7D-4620F34A153D}}{C:\WINDOWS\system32\rsztmpm.dll} []
{{64783410-4F90-34A0-7820-3230ACD05F46}}{C:\WINDOWS\system32\raqjfpi.dll} []
{{A859245F-345D-BC13-AC4F-145D47DA34FA}}{C:\WINDOWS\system32\avzxjmn.dll} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
{IFEO[360rpt.exe]}{C:\WINDOWS\system\soundmno.exe} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
{IFEO[360Safe.exe]}{C:\WINDOWS\system\soundmno.exe} [] ...

==================================
浏览器加载项
[]
{9963387B-212E-4643-B207-82DAEA0E713D} {C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A}
==================================
正在运行的进程
[PID: 1500][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system\inudhya.dll] [N/A, ]
[C:\WINDOWS\system32\WinForm.dll] [N/A, ]
[\\?\C:\WINDOWS\system32\myad.nls] [N/A, ]
[C:\WINDOWS\system32\kvdxsjma.dll] [N/A, ]
[C:\WINDOWS\system32\rsmyipm.dll] [N/A, ]
[C:\WINDOWS\system32\wsmsezx.dll] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ]
[C:\WINDOWS\system32\rarjepi.dll] [N/A, ]
[C:\WINDOWS\system32\hursax.dll] [N/A, ]
[C:\WINDOWS\system32\avwghmn.dll] [N/A, ]
[C:\WINDOWS\system32\kvdxjma.dll] [N/A, ]
[C:\WINDOWS\system32\rsztmpm.dll] [N/A, ]
[C:\WINDOWS\system32\avzxjmn.dll] [N/A, ]
[C:\WINDOWS\system32\raqjfpi.dll] [N/A, ]

==================================
Autorun.inf
[C:\]
[AutoRun]
OPEN=ntldr.exe
shellexecute=ntldr.exe
shell\打开(&O)\command=ntldr.exe...

解决办法：
下载sreng:http://download.kztechs.com/files/sreng2.zip
Xdelbox:http://www.dodou.com/down/里面的原创软件文件夹下

首先重启计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
分别解压Xdelbox和sreng
(注意：如果winrar也被感染，请重装winrar后再解压文件,推荐重装winrar)

1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{TBMonEx}{C:\WINDOWS\system\soundmno.exe} []

并删除所有红色的IFEO项目

2.解压Xdelbox所有文件到一个文件夹
在 添加旁边的框中 分别输入（实际情况不一定与此相同，因为木马随时会变化）
C:\Program Files\Internet Explorer\PLUGINS\Sy_Win7k.Jmp
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\WINDOWS\system\inudhya.dll
C:\WINDOWS\system\mhlm.exe
C:\WINDOWS\system\mylm.exe
C:\WINDOWS\system\soundma.exe
C:\WINDOWS\system\soundmno.exe
C:\WINDOWS\system32\avwghin.dll
C:\WINDOWS\system32\avwghmn.dll
C:\WINDOWS\system32\avwghst.exe
C:\WINDOWS\system32\avzxjmn.dll
C:\WINDOWS\system32\avzxjst.exe
C:\WINDOWS\system32\hursax.dll
C:\WINDOWS\system32\kvdxjis.exe
C:\WINDOWS\system32\kvdxjma.dll
C:\WINDOWS\system32\kvdxsjis.exe
C:\WINDOWS\system32\kvdxsjma.dll
C:\WINDOWS\system32\raqjfpi.dll
C:\WINDOWS\system32\raqjftl.exe
C:\WINDOWS\system32\rarjepi.dll
C:\WINDOWS\system32\rarjetl.exe
C:\WINDOWS\system32\rsmyifg.dll
C:\WINDOWS\system32\rsmyipm.dll
C:\WINDOWS\system32\rsmyisp.exe
C:\WINDOWS\system32\rsztmpm.dll
C:\WINDOWS\system32\rsztmsp.exe
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\wsmseax.exe
C:\WINDOWS\system32\wsmsezx.dll
C:\WINDOWS\WinForm.exE

（第一步为处理病毒下载的木马的步骤，实际操作中不一定与其完全相同）

输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 （按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除

3.重启计算机后
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）
在左边的资源管理器中单击打开每个盘

删除各个盘根目录下的ntldr.exe和autorun.inf

4.打开sreng
删除上述对应的启动项目 浏览器加载项目

5.使用杀毒软件全盘杀毒以修复被感染的exe文件